Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows 7 mit Trojaner befallen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.10.2013, 14:56   #1
tut.k
 
Windows 7 mit Trojaner befallen - Standard

Windows 7 mit Trojaner befallen



Hallo zusammen,

leider hat mich ein Trojaner erwischt, benötige eure Hilfe um diesen wieder los zu werden.
Hier mein Log-File, hoffe Ihr könnt mir helfen

Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-10-2013
Ran by SYSTEM on MININT-U5EF7GB on 19-10-2013 11:01:03
Running from H:\
Windows 7 Home Premium Service Pack 1 (X64) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [11895400 2011-06-24] (Realtek Semiconductor)
HKLM\...\Run: [HotKeysCmds] - C:\windows\system32\hkcmd.exe [ ] ()
HKLM\...\Run: [ETDCtrl] - C:\Program Files\Elantech\ETDCtrl.exe [2588968 2010-11-12] (ELAN Microelectronics Corp.)
HKLM\...\Run: [IntelTBRunOnce] - C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs [4526 2010-10-07] ()
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKLM-x32\...\Run: [Norton Online Backup] - C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuClient.exe [1155928 2010-05-31] (Symantec Corporation)
HKLM-x32\...\Run: [RemoteControl10] - C:\Program Files (x86)\CyberLink\Media+Player10\Media+Player10Serv.exe [87336 2010-09-19] (CyberLink Corp.)
HKLM-x32\...\Run: [CLMLServer] - C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe [103720 2009-11-01] (CyberLink)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [35696 2009-02-27] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [APSDaemon] - C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59240 2011-09-26] (Apple Inc.)
HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM-x32\...\Run: [PDFPrint] - C:\Win Progamme\PDF24\pdf24.exe [162856 2013-03-20] (Geek Software GmbH)
HKU\tut\...\Run: [LicenseValidator] - C:\Users\tut\AppData\Roaming\Identities\{792A6A18-3710-4E75-8873-015294AFC5B3}\LicenseValidator.exe
HKU\tut\...\Run: [Spiele Post] - C:\Program Files (x86)\OXXOGames\GPlayer\GameCenterNotifier.exe [480328 2013-04-24] (Intenium)
HKU\tut\...\Run: [Steam] - C:\Program Files (x86)\Steam\Steam.exe [1814440 2013-09-21] (Valve Corporation)
HKU\tut\...\Winlogon: [Shell] explorer.exe,C:\Users\tut\AppData\Roaming\data.dat [192512 2010-11-20] () <==== ATTENTION 
AppInit_DLLs: C:\windows\system32\nvinitx.dll [226920 2011-05-04] (NVIDIA Corporation)
AppInit_DLLs-x32: C:\windows\SysWOW64\nvinit.dll [192616 2011-05-04] (NVIDIA Corporation)

==================== Services (Whitelisted) =================

S2 NOBU; C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe [2804568 2010-05-31] (Symantec Corporation)
S2 RichVideo; C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe [244904 2009-11-30] ()

==================== Drivers (Whitelisted) ====================

S3 rtport; C:\windows\SysWOW64\drivers\rtport.sys [15144 2011-10-13] (Windows (R) 2003 DDK 3790 provider)
S3 rtport; C:\windows\SysWOW64\drivers\rtport.sys [15144 2011-10-13] (Windows (R) 2003 DDK 3790 provider)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-19 11:00 - 2013-10-19 11:00 - 00000000 ____D C:\FRST
2013-10-15 02:03 - 2013-10-17 09:25 - 00000004 _____ C:\Users\tut\AppData\Roaming\settings.ini
2013-10-03 06:19 - 2013-10-03 06:19 - 00000000 ____D C:\Users\tut\Documents\SpellForce2
2013-10-03 04:14 - 2013-10-03 04:14 - 00000221 _____ C:\Users\tut\Desktop\SpellForce 2 - Faith in Destiny.url
2013-10-03 03:51 - 2013-10-14 22:38 - 00000000 ____D C:\Program Files (x86)\Steam
2013-10-03 03:51 - 2013-10-03 03:51 - 00000917 _____ C:\Users\Public\Desktop\Steam.lnk

==================== One Month Modified Files and Folders =======

2013-10-19 11:00 - 2013-10-19 11:00 - 00000000 ____D C:\FRST
2013-10-17 09:25 - 2013-10-15 02:03 - 00000004 _____ C:\Users\tut\AppData\Roaming\settings.ini
2013-10-17 08:42 - 2011-09-06 08:21 - 01415992 _____ C:\Windows\WindowsUpdate.log
2013-10-14 22:45 - 2009-07-13 20:45 - 00020992 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-10-14 22:45 - 2009-07-13 20:45 - 00020992 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-10-14 22:38 - 2013-10-03 03:51 - 00000000 ____D C:\Program Files (x86)\Steam
2013-10-14 22:38 - 2009-07-13 21:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-10-14 22:38 - 2009-07-13 20:51 - 00080497 _____ C:\Windows\setupact.log
2013-10-03 06:19 - 2013-10-03 06:19 - 00000000 ____D C:\Users\tut\Documents\SpellForce2
2013-10-03 05:11 - 2011-09-05 21:08 - 00643866 _____ C:\Windows\System32\perfh007.dat
2013-10-03 05:11 - 2011-09-05 21:08 - 00126394 _____ C:\Windows\System32\perfc007.dat
2013-10-03 05:11 - 2009-07-13 21:13 - 01472002 _____ C:\Windows\System32\PerfStringBackup.INI
2013-10-03 05:08 - 2011-09-05 17:19 - 00503608 _____ C:\Windows\DirectX.log
2013-10-03 04:14 - 2013-10-03 04:14 - 00000221 _____ C:\Users\tut\Desktop\SpellForce 2 - Faith in Destiny.url
2013-10-03 03:51 - 2013-10-03 03:51 - 00000917 _____ C:\Users\Public\Desktop\Steam.lnk
2013-10-03 03:51 - 2011-12-03 08:50 - 00000000 ____D C:\users\tut
2013-10-03 03:41 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\System32\NDF
2013-09-24 21:39 - 2011-12-24 00:39 - 00000000 ____D C:\Users\tut\AppData\Local\CrashDumps
2013-09-20 10:40 - 2012-08-25 23:00 - 00000000 ____D C:\Users\tut\AppData\Roaming\AlawarEntertainment
2013-09-20 09:39 - 2013-08-31 06:05 - 00000000 ____D C:\Users\tut\AppData\Roaming\Deep Shadows

ZeroAccess:
C:\Users\tut\AppData\Local\{d44ba306-5982-5dab-e0a1-b0fdac2f3aba}
C:\Users\tut\AppData\Local\{d44ba306-5982-5dab-e0a1-b0fdac2f3aba}\@

Files to move or delete:
====================
C:\Users\tut\AppData\Roaming\data.dat
C:\Users\tut\AppData\Roaming\settings.ini
C:\Users\tut\AppData\Roaming\i.ini


Some content of TEMP:
====================
C:\Users\tut\AppData\Local\Temp\AskSLib.dll
C:\Users\tut\AppData\Local\Temp\InstallFlashPlayer.exe
C:\Users\tut\AppData\Local\Temp\LEGOBatman2.exe
C:\Users\tut\AppData\Local\Temp\lmpwcevltqdmtyfoprgpptiegwksf.exe
C:\Users\tut\AppData\Local\Temp\_inst1.exe
C:\Users\tut\AppData\Local\Temp\_inst2.exe
C:\Users\tut\AppData\Local\Temp\_inst3.exe
C:\Users\tut\AppData\Local\Temp\_inst4.exe


==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

11
Restore point made on: 2013-01-14 10:23:36
Restore point made on: 2013-01-30 09:12:35
Restore point made on: 2013-01-31 10:12:03
Restore point made on: 2013-08-17 02:27:25
Restore point made on: 2013-08-24 04:15:30
Restore point made on: 2013-09-05 00:39:43
Restore point made on: 2013-09-15 01:31:35
Restore point made on: 2013-09-24 00:31:30
Restore point made on: 2013-10-03 03:46:58
Restore point made on: 2013-10-03 03:51:36
Restore point made on: 2013-10-03 05:07:58

==================== Memory info =========================== 

Percentage of memory in use: 15%
Total physical RAM: 4008.19 MB
Available physical RAM: 3392.67 MB
Total Pagefile: 4006.39 MB
Available Pagefile: 3380.17 MB
Total Virtual: 8192 MB
Available Virtual: 8191.88 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:171 GB) (Free:115.13 GB) NTFS
Drive d: () (Fixed) (Total:503.87 GB) (Free:457.63 GB) NTFS
Drive f: (SAMSUNG_REC) (Fixed) (Total:23.67 GB) (Free:0.94 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive h: (INTENSO) (Removable) (Total:7.26 GB) (Free:7.26 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (SYSTEM) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 699 GB) (Disk ID: 817D105E)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=171 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=504 GB) - (Type=OF Extended)
Partition 4: (Not Active) - (Size=24 GB) - (Type=27)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 7 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=7 GB) - (Type=0C)


LastRegBack: 2013-09-24 00:24

==================== End Of Log ============================
         

Alt 19.10.2013, 15:06   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Windows 7 mit Trojaner befallen - Standard

Windows 7 mit Trojaner befallen



hi,

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
HKU\tut\...\Winlogon: [Shell] explorer.exe,C:\Users\tut\AppData\Roaming\data.dat [192512 2010-11-20] () <==== ATTENTION 
ZeroAccess:
C:\Users\tut\AppData\Local\{d44ba306-5982-5dab-e0a1-b0fdac2f3aba}
C:\Users\tut\AppData\Local\{d44ba306-5982-5dab-e0a1-b0fdac2f3aba}\@
C:\Users\tut\AppData\Roaming\data.dat
C:\Users\tut\AppData\Roaming\settings.ini
C:\Users\tut\AppData\Roaming\i.ini
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.


Rechner normal starten.
__________________

__________________

Alt 20.10.2013, 10:11   #3
tut.k
 
Windows 7 mit Trojaner befallen - Standard

Windows 7 mit Trojaner befallen



hallo schrauber

danke für die schnelle hilfe. es geht alles wieder.
hier der fixlog.
Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 02-10-2013
Ran by SYSTEM at 2013-10-20 10:40:55 Run:1
Running from H:\
Boot Mode: Recovery
==============================================

Content of fixlist:
*****************
HKU\tut\...Winlogon: [Shell] explorer.exe,C:\Users\tut\AppData\Roaming\data.dat [192512 2010-11-20] () <==== ATTENTION
ZeroAccess:
C:\Users\tut\AppData\Local\{d44ba306-5982-5dab-e0a1-b0fdac2f3aba}
C:\Users\tut\AppData\Local\{d44ba306-5982-5dab-e0a1-b0fdac2f3aba}\@
C:\Users\tut\AppData\Roaming\data.dat
C:\Users\tut\AppData\Roaming\settings.ini
C:\Users\tut\AppData\Roaming\i.ini
*****************

HKU\HKU\tut\...Winlogon: [Shell] explorer.exe,C:\Users\tut\AppData\Roaming\data.dat [192512 2010-11-20] () <==== ATTENTION\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value not found.
C:\Users\tut\AppData\Local\{d44ba306-5982-5dab-e0a1-b0fdac2f3aba} => Moved successfully.
"C:\Users\tut\AppData\Local\{d44ba306-5982-5dab-e0a1-b0fdac2f3aba}\@" => File/Directory not found.
C:\Users\tut\AppData\Roaming\data.dat => Moved successfully.
C:\Users\tut\AppData\Roaming\settings.ini => Moved successfully.
"C:\Users\tut\AppData\Roaming\i.ini" => File/Directory not found.

==== End of Fixlog ====
         
__________________

Alt 20.10.2013, 17:33   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Windows 7 mit Trojaner befallen - Standard

Windows 7 mit Trojaner befallen



Kontrollscans im normalen Modus:

Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.


Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu Windows 7 mit Trojaner befallen
adobe, association, check, desktop, explorer, explorer.exe, farbar, farbar recovery scan tool, free, home, ics, log-file, nvidia, realtek, registry, scan, services.exe, software, spiele, svchost.exe, symantec, system, system32, temp, trojaner, windows, windows xp, winlogon.exe



Ähnliche Themen: Windows 7 mit Trojaner befallen


  1. Windows 7 (64 Bit) mit PUP.OPTIONAL.RIDER befallen.
    Plagegeister aller Art und deren Bekämpfung - 14.11.2015 (40)
  2. Windows 7 - Befallen von Malware oder Trojaner!
    Log-Analyse und Auswertung - 29.01.2015 (23)
  3. Windows Vista Rechner mit Interpol Trojaner befallen
    Log-Analyse und Auswertung - 20.03.2014 (3)
  4. Windows XP mit vielen Vieren befallen
    Log-Analyse und Auswertung - 25.01.2014 (28)
  5. Tubesaver - Windows 7 vom gefährlichen Virus befallen
    Plagegeister aller Art und deren Bekämpfung - 04.11.2013 (4)
  6. Netbook mit Windows 7 Starter von Fedpol/BKA Trojaner befallen.
    Log-Analyse und Auswertung - 16.09.2013 (18)
  7. Windows 7 mit GVU Trojaner befallen
    Log-Analyse und Auswertung - 19.07.2013 (13)
  8. Windows XP Pc mit AVASoft Virus befallen
    Plagegeister aller Art und deren Bekämpfung - 04.04.2013 (7)
  9. Mein Windows Vista 64-bit PC von BKA-Trojaner befallen
    Plagegeister aller Art und deren Bekämpfung - 15.07.2012 (5)
  10. System von Windows Verschlüsselungs Trojaner befallen nach Öffnung von Anhang in flirt-fever Mail
    Log-Analyse und Auswertung - 12.06.2012 (5)
  11. Windows XP vom Suisa Trojaner befallen.
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (32)
  12. DHL-Verfolgung - e-Mail Trojaner - Windows 7 Schwer Befallen
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (20)
  13. 100-Virus, Windows 7,nur ein Benutzerkonto befallen, Laptop
    Plagegeister aller Art und deren Bekämpfung - 07.04.2012 (6)
  14. Windows 2003 befallen mit was?
    Log-Analyse und Auswertung - 29.08.2011 (2)
  15. Windows-Vista -PC mit spyeye befallen
    Log-Analyse und Auswertung - 09.05.2011 (5)
  16. WL: windows-vista-pc-mit-spyeye-befallen
    Log-Analyse und Auswertung - 08.03.2011 (1)
  17. Mein PC ist befallen von einem Trojaner und Windows AntiVirus 2009, wie kill ich die?
    Plagegeister aller Art und deren Bekämpfung - 26.04.2009 (0)

Zum Thema Windows 7 mit Trojaner befallen - Hallo zusammen, leider hat mich ein Trojaner erwischt, benötige eure Hilfe um diesen wieder los zu werden. Hier mein Log-File, hoffe Ihr könnt mir helfen Code: Alles auswählen Aufklappen ATTFilter - Windows 7 mit Trojaner befallen...
Archiv
Du betrachtest: Windows 7 mit Trojaner befallen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.