Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Weisser Bildschirm nach User-Login (Windows 7)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.08.2013, 13:17   #1
matthias_rgb
 
Weisser Bildschirm nach User-Login (Windows 7) - Standard

Weisser Bildschirm nach User-Login (Windows 7)



Hallo, eine Bekannte hat sich einen Troyaner eingefangen, schädliche Software mit einer CT Antiviren CD gelöscht und nun kommt nach dem Windows Login eine cms.exe Meldung das eine gvkceukvcphnfhajj.exe Datei nicht gefunden werden kann (die hat sie vermutlich gelöscht) und der Bildschirm ist im Hintergrund weiss. Ähnlich wie bei http://www.trojaner-board.de/136969-...a-meldung.html

Auch hier funktioniert das mit der OTLPENet nicht wg dem Bluescreen. Ich hab nun mit FRST64 ein Logfile erstellt:

Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 30-07-2013 03
Ran by SYSTEM on 01-08-2013 16:54:46
Running from H:\
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2828072 2011-09-16] (Synaptics Incorporated)
HKLM\...\Run: [AtherosBtStack] - C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe [615584 2011-01-07] (Atheros Communications)
HKLM\...\Run: [AthBtTray] - C:\Program Files (x86)\Bluetooth Suite\AthBtTray.exe [379040 2011-01-07] (Atheros Commnucations)
HKLM\...\Run: [SysTrayApp] - C:\Program Files\IDT\WDM\sttray64.exe [835072 2011-01-27] (IDT, Inc.)
HKLM\...\Run: [MSC] - c:\Program Files\Microsoft Security Client\msseces.exe [1281512 2013-01-27] (Microsoft Corporation)
HKLM\...\InprocServer32: [Default-cscui]  <==== ATTENTION!
HKLM-x32\...\Run: [PDF Complete] - C:\Program Files (x86)\PDF Complete\pdfsty.exe [656920 2011-02-01] (PDF Complete Inc)
HKLM-x32\...\Run: [QLBController] - C:\Program Files (x86)\Hewlett-Packard\HP HotKey Support\QLBController.exe [299576 2011-01-28] (Hewlett-Packard Company)
HKLM-x32\...\Run: [File Sanitizer] - C:\Program Files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe [x]
HKLM-x32\...\Run: [IAStorIcon] - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [283160 2011-01-26] (Intel Corporation)
HKLM-x32\...\Run: [NUSB3MON] - c:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe [113288 2010-11-17] (Renesas Electronics Corporation)
HKLM-x32\...\Run: [DTRun] - c:\Program Files (x86)\ArcSoft\TotalMedia Suite\TotalMedia Theatre 3\uDTRun.exe [517456 2010-11-24] (ArcSoft Inc.)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [843712 2012-01-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [252296 2012-01-17] (Sun Microsystems, Inc.)
HKLM-x32\...\Run: [APSDaemon] - C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59280 2012-11-28] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper] - C:\Program Files (x86)\iTunes\iTunesHelper.exe [152544 2012-12-12] (Apple Inc.)
HKU\USER\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\URSULA~1\AppData\Local\Temp\gvkceukvcphnfhajj.exe [x] <===== ATTENTION
HKU\USER\...\RunOnce: [FlashPlayerUpdate] - C:\windows\system32\Macromed\Flash\FlashUtil64_11_7_700_224_ActiveX.exe [514952 2013-06-12] (Adobe Systems Incorporated)
HKU\USER\...\Winlogon: [Shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation) <==== ATTENTION 
HKU\USER\...\Command Processor: "C:\Users\URSULA~1\AppData\Local\Temp\gvkceukvcphnfhajj.exe" <===== ATTENTION!

==================== Services (Whitelisted) =================

S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [113152 2010-03-18] (ArcSoft Inc.)
S2 Atheros Bt&Wlan Coex Agent; C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe [138400 2011-01-07] (Atheros)
S2 hpHotkeyMonitor; C:\Program Files (x86)\Hewlett-Packard\HP Hotkey Support\HpHotkeyMonitor.exe [281656 2011-01-28] (Hewlett-Packard Company)
S2 HWDeviceService64.exe; C:\ProgramData\DatacardService\HWDeviceService64.exe [344928 2011-01-28] ()
S2 Internet Manager. RunOuc; C:\Program Files (x86)\T-Mobile\InternetManager_H\UpdateDog\ouc.exe [224096 2012-08-03] ()
S2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [22056 2013-01-27] (Microsoft Corporation)
S3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [379360 2013-01-27] (Microsoft Corporation)
S2 pdfcDispatcher; C:\Program Files (x86)\PDF Complete\pdfsvc.exe [1127448 2011-02-01] (PDF Complete Inc)
S2 uArcCapture; C:\windows\SysWow64\ArcVCapRender\uArcCapture.exe [502464 2010-11-11] (ArcSoft, Inc.)
S2 HP Health Check Service; "C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe" [x]
S2 McAfee Endpoint Encryption Agent; "C:\Program Files\Hewlett-Packard\Drive Encryption\EEAgent\MfeEpeHost.exe" [x]

==================== Drivers (Whitelisted) ====================

S3 ARCVCAM; C:\Windows\System32\DRIVERS\ArcSoftVCapture.sys [32192 2010-11-11] (ArcSoft, Inc.)
S0 BMLoad; C:\Windows\System32\drivers\BMLoad.sys [16512 2012-08-03] (Bytemobile, Inc.)
S3 huawei_wwanecm; C:\Windows\System32\DRIVERS\ew_juwwanecm.sys [212992 2012-08-03] (Huawei Technologies Co., Ltd.)
S0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [230320 2013-01-20] (Microsoft Corporation)
S2 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [130008 2013-01-20] (Microsoft Corporation)
S3 SNP2UVC; C:\Windows\System32\DRIVERS\snp2uvc.sys [1826048 2010-12-21] ()
S1 tcpipBM; C:\windows\system32\drivers\tcpipBM.sys [39552 2012-08-03] (Bytemobile, Inc.)
S1 tcpipBM; C:\windows\system32\drivers\tcpipBM.sys [39552 2012-08-03] (Bytemobile, Inc.)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-01 16:54 - 2013-08-01 16:54 - 00000000 ____D C:\FRST
2013-07-25 00:08 - 2013-07-25 00:08 - 01084712 _____ C:\ProgramData\2433f433
2013-07-25 00:08 - 2013-07-25 00:08 - 01084688 _____ C:\Users\USER\AppData\Local\2433f433
2013-07-25 00:08 - 2013-07-25 00:08 - 01084667 _____ C:\Users\USER\AppData\Roaming\2433f433
2013-07-12 09:55 - 2013-06-12 00:43 - 14329856 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-07-12 09:55 - 2013-06-12 00:43 - 02877440 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-07-12 09:55 - 2013-06-12 00:43 - 01767936 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-07-12 09:55 - 2013-06-12 00:43 - 01141248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-07-12 09:55 - 2013-06-12 00:43 - 00690688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-07-12 09:55 - 2013-06-12 00:43 - 00493056 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-07-12 09:55 - 2013-06-12 00:43 - 00039424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-07-12 09:55 - 2013-06-12 00:42 - 13760512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-07-12 09:55 - 2013-06-12 00:42 - 02046976 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-07-12 09:55 - 2013-06-12 00:42 - 00391168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-07-12 09:55 - 2013-06-12 00:42 - 00109056 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesysprep.dll
2013-07-12 09:55 - 2013-06-12 00:42 - 00061440 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2013-07-12 09:55 - 2013-06-12 00:42 - 00033280 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2013-07-12 09:55 - 2013-06-12 00:26 - 02241024 _____ (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-07-12 09:55 - 2013-06-12 00:26 - 01365504 _____ (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-07-12 09:55 - 2013-06-12 00:26 - 00051712 _____ (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-07-12 09:55 - 2013-06-12 00:25 - 19238912 _____ (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-07-12 09:55 - 2013-06-12 00:25 - 15404032 _____ (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-07-12 09:55 - 2013-06-12 00:25 - 03958784 _____ (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-07-12 09:55 - 2013-06-12 00:25 - 02648576 _____ (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-07-12 09:55 - 2013-06-12 00:25 - 00855552 _____ (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-07-12 09:55 - 2013-06-12 00:25 - 00603136 _____ (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-07-12 09:55 - 2013-06-12 00:25 - 00526336 _____ (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-07-12 09:55 - 2013-06-12 00:25 - 00136704 _____ (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-07-12 09:55 - 2013-06-12 00:25 - 00067072 _____ (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-07-12 09:55 - 2013-06-12 00:25 - 00053248 _____ (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-07-12 09:55 - 2013-06-12 00:25 - 00039936 _____ (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-07-12 09:55 - 2013-06-11 23:51 - 00071680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\RegisterIEPKEYs.exe
2013-07-12 09:55 - 2013-06-11 23:50 - 00089600 _____ (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-07-12 09:55 - 2013-06-07 04:22 - 02706432 _____ (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-07-12 09:55 - 2013-06-07 03:37 - 02706432 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-07-11 21:05 - 2013-06-05 04:34 - 03153920 _____ (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-07-11 21:05 - 2013-06-04 07:00 - 00624128 _____ (Microsoft Corporation) C:\Windows\System32\qedit.dll
2013-07-11 21:05 - 2013-06-04 05:53 - 00509440 _____ (Microsoft Corporation) C:\Windows\SysWOW64\qedit.dll
2013-07-11 21:05 - 2013-05-06 07:03 - 01887744 _____ (Microsoft Corporation) C:\Windows\System32\WMVDECOD.DLL
2013-07-11 21:05 - 2013-05-06 05:56 - 01620480 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WMVDECOD.DLL
2013-07-11 21:05 - 2013-04-10 00:34 - 01247744 _____ (Microsoft Corporation) C:\Windows\SysWOW64\DWrite.dll
2013-07-11 21:05 - 2013-04-02 23:51 - 01643520 _____ (Microsoft Corporation) C:\Windows\System32\DWrite.dll

==================== One Month Modified Files and Folders =======

2013-08-01 15:50 - 2009-07-14 05:51 - 00071869 _____ C:\Windows\setupact.log
2013-08-01 15:48 - 2011-05-03 02:10 - 00696620 _____ C:\Windows\System32\perfh007.dat
2013-08-01 15:48 - 2011-05-03 02:10 - 00147916 _____ C:\Windows\System32\perfc007.dat
2013-08-01 15:48 - 2009-07-14 06:13 - 01612484 _____ C:\Windows\System32\PerfStringBackup.INI
2013-08-01 15:10 - 2011-05-03 02:22 - 00000000 ____D C:\ProgramData\PDFC
2013-08-01 15:09 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-07-31 17:53 - 2011-10-15 08:11 - 01701867 _____ C:\Windows\WindowsUpdate.log
2013-07-31 17:53 - 2009-07-14 05:45 - 00019760 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-31 17:53 - 2009-07-14 05:45 - 00019760 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-31 17:51 - 2012-03-13 18:21 - 00000000 ____D C:\users\USER
2013-07-31 17:14 - 2012-08-03 11:30 - 00000000 ____D C:\ProgramData\DatacardService
2013-07-31 10:40 - 2012-04-20 11:23 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-25 00:08 - 2013-07-25 00:08 - 01084712 _____ C:\ProgramData\2433f433
2013-07-25 00:08 - 2013-07-25 00:08 - 01084688 _____ C:\Users\USER\AppData\Local\2433f433
2013-07-25 00:08 - 2013-07-25 00:08 - 01084667 _____ C:\Users\USER\AppData\Roaming\2433f433
2013-07-24 21:53 - 2011-10-15 08:24 - 00000035 _____ C:\Users\Public\Documents\AtherosServiceConfig.ini
2013-07-23 07:30 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\System32\NDF
2013-07-21 23:48 - 2013-06-30 14:05 - 00000000 ____D C:\Users\USER\Documents\Arbeit
2013-07-21 10:52 - 2012-08-22 22:26 - 00000000 ____D C:\Users\USER\AppData\Roaming\Skype
2013-07-20 21:30 - 2012-03-20 18:44 - 00000000 ____D C:\Users\USER\Documents\sven
2013-07-20 21:29 - 2013-02-10 12:38 - 00000000 ____D C:\Users\USER\Documents\Studium BA
2013-07-20 21:29 - 2012-09-12 15:14 - 00000000 ____D C:\Users\USER\Documents\Studium 7. Semester
2013-07-12 10:29 - 2009-07-14 05:45 - 00342240 _____ C:\Windows\System32\FNTCACHE.DAT
2013-07-12 10:27 - 2012-05-17 06:47 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2013-07-12 10:27 - 2012-05-17 06:47 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2013-07-12 10:27 - 2009-07-27 15:27 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-12 10:27 - 2009-07-14 06:32 - 00000000 ____D C:\Program Files\Windows Defender
2013-07-12 10:27 - 2009-07-14 06:32 - 00000000 ____D C:\Program Files (x86)\Windows Defender
2013-07-12 10:01 - 2012-03-13 19:34 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-07-12 09:56 - 2012-03-13 23:02 - 78185248 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-07-10 21:18 - 2012-03-13 18:20 - 00003232 _____ C:\Windows\System32\Tasks\HPCeeScheduleForURSULABOGDANSKI$
2013-07-10 21:18 - 2012-03-13 18:20 - 00000356 _____ C:\Windows\Tasks\HPCeeScheduleForURSULABOGDANSKI$.job
2013-07-08 17:12 - 2012-03-20 18:44 - 00000000 ____D C:\Users\USER\Documents\tim
2013-07-07 07:23 - 2012-10-25 08:20 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-06-26 21:08:47
Restore point made on: 2013-06-30 14:30:07
Restore point made on: 2013-07-03 15:44:45
Restore point made on: 2013-07-06 23:21:51
Restore point made on: 2013-07-10 06:23:11
Restore point made on: 2013-07-12 09:49:55
Restore point made on: 2013-07-15 19:50:20
Restore point made on: 2013-07-20 01:13:33
Restore point made on: 2013-07-24 13:00:20
Restore point made on: 2013-07-31 10:16:19

==================== Memory info =========================== 

Percentage of memory in use: 16%
Total physical RAM: 4030.37 MB
Available physical RAM: 3365.73 MB
Total Pagefile: 4028.57 MB
Available Pagefile: 3355.29 MB
Total Virtual: 8192 MB
Available Virtual: 8191.85 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:275.06 GB) (Free:213.09 GB) NTFS (Disk=0 Partition=2) ==>[System with boot components (obtained from reading drive)]
Drive e: (HP_RECOVERY) (Fixed) (Total:17.73 GB) (Free:2.69 GB) NTFS (Disk=0 Partition=3) ==>[System with boot components (obtained from reading drive)]
Drive f: (HP_TOOLS) (Fixed) (Total:4.98 GB) (Free:4.98 GB) FAT32 (Disk=0 Partition=4)
Drive g: (GSP1RMCPRXFRER_DE_DVD) (CDROM) (Total:3.04 GB) (Free:0 GB) UDF
Drive h: (VIDEOS) (Removable) (Total:3.73 GB) (Free:3.72 GB) FAT32 (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (SYSTEM) (Fixed) (Total:0.29 GB) (Free:0.25 GB) NTFS (Disk=0 Partition=1) ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298 GB) (Disk ID: 5BB8F1BD)
Partition 1: (Active) - (Size=300 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=275 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=18 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=5 GB) - (Type=0C)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 16AA4A2B)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)


LastRegBack: 2013-07-23 14:35

==================== End Of Log ============================
         
Kann mir wer bitte helfen?

Alt 01.08.2013, 13:31   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Weisser Bildschirm nach User-Login (Windows 7) - Standard

Weisser Bildschirm nach User-Login (Windows 7)



Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
HKU\USER\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\URSULA~1\AppData\Local\Temp\gvkceukvcphnfhajj.exe [x] <===== ATTENTION
HKU\USER\...\RunOnce: [FlashPlayerUpdate] - C:\windows\system32\Macromed\Flash\FlashUtil64_11_7_700_224_ActiveX.exe [514952 2013-06-12] (Adobe Systems Incorporated)
HKU\USER\...\Command Processor: "C:\Users\URSULA~1\AppData\Local\Temp\gvkceukvcphnfhajj.exe" <===== ATTENTION!
2013-07-25 00:08 - 2013-07-25 00:08 - 01084712 _____ C:\ProgramData\2433f433
2013-07-25 00:08 - 2013-07-25 00:08 - 01084688 _____ C:\Users\USER\AppData\Local\2433f433
2013-07-25 00:08 - 2013-07-25 00:08 - 01084667 _____ C:\Users\USER\AppData\Roaming\2433f433
C:\Users\URSULA~1\AppData\Local\Temp\gvkceukvcphnfhajj.exe
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.


neu booten, freuen
__________________

__________________

Alt 01.08.2013, 16:06   #3
matthias_rgb
 
Weisser Bildschirm nach User-Login (Windows 7) - Standard

Weisser Bildschirm nach User-Login (Windows 7)



Funktioniert leider nicht. Sind auch Fehlermeldungen im Log.

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 30-07-2013 03
Ran by SYSTEM at 2013-08-01 19:38:48 Run:3
Running from H:\
Boot Mode: Recovery
==============================================

HKU\USER\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx => Value not found.
HKU\USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\FlashPlayerUpdate => Value not found.
HKU\USER\Software\Microsoft\Command Processor\\AutoRun => Value not found.
"C:\ProgramData\2433f433" => File/Directory not found.
"C:\Users\USER\AppData\Local\2433f433" => File/Directory not found.
"C:\Users\USER\AppData\Roaming\2433f433" => File/Directory not found.
"C:\Users\URSULA~1\AppData\Local\Temp\gvkceukvcphnfhajj.exe" => File/Directory not found.

==== End of Fixlog ====
         
Ist vielleicht was bei den User Bezeichnungen durcheinander geraten? Ihr User Name ist Vorname Nachname. Den hab ich im ersten Post durch den Namen "USER" anonymisiert und in der Fixlist.txt sowohl die Anonymisierung USER durch ihren Vornamen Nachnamen als auch URSULA~1 durch ihren Vornamen Nachnamen ersetzt ... im nächsten Durchgang hab ich nur USER durch Vorname Nachname ersetzt und URSULA~1 nicht - gleiches Problem. Bei HKU ist ja nichts zu ersetzen, oder? Hab ich aber auch mal probiert das durch ihren richtigen Benutzernamen Vorname Nachname ersetzt und wieder das gleiche Problem.
__________________

Alt 01.08.2013, 21:27   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Weisser Bildschirm nach User-Login (Windows 7) - Standard

Weisser Bildschirm nach User-Login (Windows 7)



Strange, poste bitte ein frisches FRST log aus der Recovery.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu Weisser Bildschirm nach User-Login (Windows 7)
adobe, adobe flash player, association, bildschirm, explorer, farbar, farbar recovery scan tool, flash player, hintergrund, home, hotkey, logfile, microsoft, mozilla, pdf, registry, security, services.exe, software, svchost.exe, system, temp, troyaner, usb, windows, winlogon, winlogon.exe, wlan



Ähnliche Themen: Weisser Bildschirm nach User-Login (Windows 7)


  1. Ich bin jetzt auch im Club. Weisser Bildschirm nach Start (Windows 7)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2014 (17)
  2. Windows 7 weisser Bildschirm nach der Anmeldung
    Log-Analyse und Auswertung - 29.03.2014 (3)
  3. [Windows 7] Nach Login bei Windows erscheint nur noch ein schwarzer Bildschirm mit Mauszeiger
    Plagegeister aller Art und deren Bekämpfung - 12.03.2014 (1)
  4. Windows 7: weisser Bildschirm nach Start!
    Log-Analyse und Auswertung - 11.01.2014 (20)
  5. Nach Aufstarten von Windows 7 folgt weisser Bildschirm...
    Log-Analyse und Auswertung - 07.10.2013 (19)
  6. Windows 7, Interpool/CIA meldung wegen verstoss, 500.- Busse, 1 Minute nach Aufstarten des Laptops <- weisser Bildschirm
    Log-Analyse und Auswertung - 09.09.2013 (19)
  7. weisser Bildschirm nach booten von Windows 7
    Plagegeister aller Art und deren Bekämpfung - 30.06.2013 (16)
  8. weisser Bildschirm nach dem booten von windows 7
    Plagegeister aller Art und deren Bekämpfung - 26.06.2013 (1)
  9. weißer Bildschrim nach User Login unter Windows 7
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (32)
  10. Weisser Bildschirm nach Anmeldung Windows XP, GVU-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.05.2013 (30)
  11. weisser Bildschirm Windows Vista nach dem hochfahren
    Log-Analyse und Auswertung - 15.05.2013 (9)
  12. Nach Virusentfernung immer noch weißer gesperrter Bildschirm beim Windows Login
    Log-Analyse und Auswertung - 01.02.2013 (15)
  13. Weißer Bildschirm nach Benutzer Login, Windows 7
    Plagegeister aller Art und deren Bekämpfung - 24.01.2013 (24)
  14. Weisser Bildschirm nach Windows- Start
    Plagegeister aller Art und deren Bekämpfung - 13.11.2012 (14)
  15. GVU / Bunderstrojaner / Windows XP - kein abgesichertert Modus, nach Login sofort Bildschirm gesperrt...
    Plagegeister aller Art und deren Bekämpfung - 20.08.2012 (6)
  16. Weisser Bildschirm nach PC Start verbindung wird hergestellt bei Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (1)
  17. Viren? schwarzer Bildschirm nach Windows Login
    Log-Analyse und Auswertung - 03.06.2012 (1)

Zum Thema Weisser Bildschirm nach User-Login (Windows 7) - Hallo, eine Bekannte hat sich einen Troyaner eingefangen, schädliche Software mit einer CT Antiviren CD gelöscht und nun kommt nach dem Windows Login eine cms.exe Meldung das eine gvkceukvcphnfhajj.exe Datei - Weisser Bildschirm nach User-Login (Windows 7)...
Archiv
Du betrachtest: Weisser Bildschirm nach User-Login (Windows 7) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.