| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Windows Vista wei-er Bildschirm und abgesicherter Modus funktioniert nichtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
01.08.2013, 18:58
| #1 |
| /// Malware-holic   |  Windows Vista wei-er Bildschirm und abgesicherter Modus funktioniert nicht Hi, immer alle Arbeitsschritte abarbeiten, dann erst posten. 1. Wenn du Software instalierst: - Via Google Suche informieren, ob sie Adware mitbringt -- lies bitte die AGBS, bzw Lizenzverträge, schau dort nach potentieller drittanbieter Software (Toolbars) z.B. - instaliere immer benutzerdefiniert, um ungewünschtes abwählen zu können. 1. sollte es Probleme bei einer Deinstalation geben, lade dir rewo, dieses Programm sollte helfen. Revo Uninstaller - Download - Filepony Deinstaliere: Adobe Flash Player Call of : alle DAEMON Tools Toolbar DealPly FoxTab Free Audio Free YouTube FrostWire ICQ Toolbar iTunes Java(TM) downloade Java jre: Java-Downloads für alle Betriebssysteme klicke: Download der Java-Software für Windows Offline laden, und instalieren Mozilla Thunderbird: aktuelle Version instalieren. Thunderbird ? Software für den einfachen Umgang mit E-Mails NETGEAR Skype Toolbars Spybot : verzichte drauf, nutze lieber Malwarebytes, bringt bessere Ergebnisse. 2. Scan mit Combofix
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
01.08.2013, 20:08
| #2 |
 | Windows Vista wei-er Bildschirm und abgesicherter Modus funktioniert nicht Combofix.txt:
__________________Code:
ATTFilter ComboFix 13-08-01.01 - Postaldude 02.08.2013 22:51:12.1.2 - x64
Microsoft® Windows Vista™ Home Basic 6.0.6001.1.1252.49.1031.18.3070.1011 [GMT 2:00]
ausgeführt von:: c:\users\Postaldude\Downloads\ComboFix.exe
SP: Spybot - Search and Destroy *Disabled/Outdated* {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B0}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\QuestScan
c:\program files (x86)\QuestScan\QuestScan_deleted_\questscan.dll
c:\program files (x86)\QuestScan\QuestScan_deleted_\questscan.exe
c:\program files (x86)\QuestScan\QuestScan_deleted0\questscan.dll
c:\program files (x86)\QuestScan\QuestScan_deleted0\questscan.exe
c:\program files (x86)\QuestScan\QuestScan_deleted1\questscan.dll
c:\program files (x86)\QuestScan\QuestScan_deleted1\questscan.exe
c:\program files (x86)\QuestScan\QuestScan_deleted2\questscan.dll
c:\program files (x86)\QuestScan\QuestScan_deleted2\questscan.exe
c:\program files (x86)\QuestScan\QuestScan_deleted3\questscan.dll
c:\program files (x86)\QuestScan\QuestScan_deleted3\questscan.exe
c:\program files (x86)\QuestScan\QuestScan_deleted4\questscan.dll
c:\program files (x86)\QuestScan\QuestScan_deleted4\questscan.exe
c:\program files (x86)\QuestScan\QuestScan_deleted5\questscan.dll
c:\program files (x86)\QuestScan\QuestScan_deleted5\questscan.exe
c:\program files (x86)\QuestScan\QuestScan_deleted6\questscan.dll
c:\program files (x86)\QuestScan\QuestScan_deleted6\questscan.exe
c:\program files (x86)\QuestScan\QuestScan_deleted7\questscan.dll
c:\program files (x86)\QuestScan\QuestScan_deleted7\questscan.exe
c:\program files (x86)\QuestScan\uninstall.exe
c:\programdata\QuestScan
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\ANTIGEN.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\cb.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\cid.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\CLSV.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\DBOLE.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\ddv.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\delfile.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\dudl.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\eb.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\energy.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\exec.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\fan.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\fix.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\FS.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\FW.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\gid.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\grid.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\hymt.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\kernel32.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\pal.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\PE.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\ppal.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\runddl.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\runddlkey.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\SICKBOY.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\sld.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\SM.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\snl2w.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\std.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\tempdoc.tmp
c:\users\Postaldude\AppData\Roaming\Microsoft\Windows\Recent\tjd.tmp
c:\users\Public\sdelevURL.tmp
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-07-02 bis 2013-08-02 ))))))))))))))))))))))))))))))
.
.
2013-08-02 21:00 . 2013-08-02 21:00 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp
2013-08-02 21:00 . 2013-08-02 21:00 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-08-02 20:20 . 2013-08-02 20:20 -------- d-----w- c:\program files (x86)\VS Revo Group
2013-08-02 19:37 . 2013-08-02 19:37 -------- dc----w- C:\FRST
2013-07-27 01:02 . 2013-07-27 01:05 -------- d-----w- c:\windows\system32\MRT
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-23 22:57 . 2006-11-02 12:35 78277128 ----a-w- c:\windows\system32\mrt.exe
2013-05-22 11:34 . 2013-06-16 12:21 37344 ----a-w- c:\windows\SysWow64\FsUsbExDisk.Sys
2013-05-22 11:34 . 2013-06-16 12:21 37344 ----a-w- c:\windows\SysWow64\FsUsbExDisk.Sy_
2013-05-22 11:34 . 2013-06-16 12:21 233472 ----a-w- c:\windows\SysWow64\FsUsbExService.Exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1555968]
"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-21 2153472]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2011-06-15 15141768]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2011-01-20 1305408]
"KiesPreload"="c:\program files (x86)\Samsung\Kies\Kies.exe" [2013-05-23 1561968]
"KiesPDLR"="c:\program files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2013-05-23 1106288]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-06-07 421776]
"KiesTrayAgent"="c:\program files (x86)\Samsung\Kies\KiesTrayAgent.exe" [2013-05-23 311152]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
NETGEAR WG111v3 Smart Wizard.lnk - c:\program files (x86)\NETGEAR\WG111v3\WG111v3.exe [2008-2-22 2506752]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean64.exe
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
Themes
.
Inhalt des "geplante Tasks" Ordners
.
2013-07-30 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4106808123-2835437310-3382094434-1000Core.job
- c:\users\Postaldude\AppData\Local\Google\Update\GoogleUpdate.exe [2011-03-09 18:02]
.
2013-08-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4106808123-2835437310-3382094434-1000UA.job
- c:\users\Postaldude\AppData\Local\Google\Update\GoogleUpdate.exe [2011-03-09 18:02]
.
.
--------- X64 Entries -----------
.
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = %SystemRoot%\system32\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to MP3 Converter - c:\users\Postaldude\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files (x86)\ICQ7.4\ICQ.exe
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKCU-Run-ICQ - c:\program files (x86)\ICQ7.4\ICQ.exe
Wow6432Node-HKCU-Run-limewire plus+ - c:\program files (x86)\Limewire Plus+\limewire.exe
Wow6432Node-HKCU-Run-lime pro - c:\program files (x86)\Lime PRO\LimePro.exe
Wow6432Node-HKCU-Run-KiesAirMessage - c:\program files (x86)\Samsung\Kies\KiesAirMessage.exe
Wow6432Node-HKCU-Run-WMPNSCFG - c:\program files (x86)\Windows Media Player\WMPNSCFG.exe
AddRemove-FarmingSimulator2009DE_is1 - c:\program files (x86)\Landwirtschafts-Simulator 2009\unins000.exe
AddRemove-Free Audio CD Burner_is1 - c:\program files (x86)\DVDVideoSoft\Free Audio CD Burner\unins000.exe
AddRemove-FrostWire - c:\program files (x86)\FrostWire\Uninstall.exe
AddRemove-ICQToolbar - c:\program files (x86)\ICQ6Toolbar\ICQUnToolbar.exe
AddRemove-Might and Magic® VI - c:\windows\IsUn0407.exe
AddRemove-FoxTab PDF Creator - c:\program files (x86)\FoxTabPDFConverter\Uninstall\Uninstall.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
Zeit der Fertigstellung: 2013-08-02 23:05:23
ComboFix-quarantined-files.txt 2013-08-02 21:05
.
Vor Suchlauf: 14 Verzeichnis(se), 100.641.349.632 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 107.910.397.952 Bytes frei
.
- - End Of File - - 8DB7D064E04113B62118808C2A887408
D41D8CD98F00B204E9800998ECF8427E
|
|
| Themen zu Windows Vista wei-er Bildschirm und abgesicherter Modus funktioniert nicht |
| autorun, bho, bildschirm, bonjour, defender, error, explorer, format, home, icq, launch, limewire, logfiles, malwarebytes, microsoft, netgear, nvidia, object, plug-in, problem, refresh, registry, scan, software, tarma, vista, windows, winlogon, wmp |
WARNUNG an die MITLESER: 
Hybrid-Darstellung
