Nur noch Verknüpfungen auf USB-STick

cosinus · 12.11.2013, 23:30

Automatische Wiedergabe (Autorun) deaktivieren

Lesestoff:
Aufgabe von Autorun

Die Hauptaufgabe von Autorun besteht darin, auf Hardwareaktionen, die auf einem Computer gestartet werden, softwareseitig zu reagieren. Autorun bietet die folgenden Funktionen:

Doppelklicken
Kontextmenü
Automatische Wiedergabe

Diese Funktionen werden typischerweise von Wechselmedien oder Netzwerkfreigaben aufgerufen. Während der automatischen Wiedergabe wird die Datei "Autorun.inf" auf dem Medium analysiert. Diese Datei legt fest, welche Befehle vom System ausgeführt werden. Viele Firmen nutzen diese Funktionalität zum Starten von Installationsprogrammen.

Das Problem bzw. das Sicherheitsrisiko besteht darin, dass die Autorun-Funktion missbraucht werden kann, um automatisch zB auf infizierten USB-Sticks eine Schädlingsdatei (die in der autorun.inf definiert ist) auszuführen. Ich empfehle dir daher dringend, Autorun komplett zu deaktivieren.

Windows XP: Zur Vereinfachung hab ich die Datei noautorun.reg hochgeladen. Lade sie bitte auf den Desktop herunter, führ die Datei per Doppelklick aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Falls die o.g. Datei noautorun.reg nicht herunterladbar sein sollte, hier der Inhalt der noautorun.reg; einfach in eine Textdatei kopieren und diese als noautorun.reg Datei abspeichern und per Doppelklick ausführen um es in die Registry zu schreiben:

Code:

ATTFilter

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern

Und noch einen Fix bitte:

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

C:\Users\M\AppData\Local\Temp\tmxnftcqgr..vbs
C:\Users\M\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tmxnftcqgr..vbs

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Freibuerger · 12.11.2013, 23:49

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 10-11-2013 01
Ran by M at 2013-11-12 23:36:40 Run:1
Running from C:\Users\M\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
C:\Users\M\AppData\Local\Temp\tmxnftcqgr..vbs
C:\Users\M\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tmxnftcqgr..vbs
*****************

Could not move "C:\Users\M\AppData\Local\Temp\tmxnftcqgr..vbs" => Scheduled to move on reboot.
C:\Users\M\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tmxnftcqgr..vbs => Moved successfully.

=========== Result of Scheduled Files to move ===========

C:\Users\M\AppData\Local\Temp\tmxnftcqgr..vbs => Moved successfully.

==== End of Fixlog ====

Autorun steht bei mir immer auf "Nachfragen". Falls das komplette Deaktivieren besser ist, bitte noch mal kurz sagen.

Nach dem durch FRST erzwungenen Neustart kam die Fehlermeldung vom Windows Script Host:

Das Laden des Scripts C:...\Startup\tmxnftcqgr..vbs ist fehlgeschlagen (Zugriff verweigert).

Avira meldete zeitgleich, dass der Echtzeit-Scanner 2 Viren gefunden hat, die sich wieder nicht entfernen ließen.
Dann kam der Sicherheitshinweis, dass der Zugriff auf die vbs verweigert wurde.
Die Meldung kommt jetzt halt immer wieder.

Ist das System noch zu retten? Und ist der Stick dann auch wieder brauchbar?

cosinus · 13.11.2013, 09:15

Bitte neue FRST-Logs machen. FRST neu runterladen und den Haken bei additions.txt setzen falls nciht gesetzt, dann erst auf Scan klicken

Freibuerger · 13.11.2013, 12:10

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 13-11-2013
Ran by M (administrator) on M-PC on 13-11-2013 12:08:16
Running from C:\Users\M\Desktop
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Microsoft Corporation) C:\Windows\SysWOW64\svchost.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Intel Corporation) C:\Windows\system32\igfxsrvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Geek Software GmbH) C:\Program Files (x86)\PDF24\pdf24.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [HotKeysCmds] - C:\Windows\system32\hkcmd.exe [ ] ()
HKLM\...\Run: [tmxnftcqgr] - wscript.exe //B "C:\Users\M\AppData\Local\Temp\tmxnftcqgr..vbs" <===== ATTENTION
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKCU\...\Run: [tmxnftcqgr] - wscript.exe //B "C:\Users\M\AppData\Local\Temp\tmxnftcqgr..vbs" <===== ATTENTION
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-09-05] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [347192 2013-09-13] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [PDFPrint] - C:\Program Files (x86)\PDF24\pdf24.exe [162856 2013-06-10] (Geek Software GmbH)
HKLM-x32\...\Run: [] - [x]
HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x957A1F802557CE01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Tcpip\Parameters: [DhcpNameServer] 78.42.43.62 82.212.62.62

FireFox:
========
FF ProfilePath: C:\Users\M\AppData\Roaming\Mozilla\Firefox\Profiles\x29flwge.default
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_117.dll ()
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - c:\Program Files\Microsoft Silverlight\5.1.20913.0\npctrl.dll ( Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_9_900_117.dll ()
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf - C:\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll (Foxit Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf - C:\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll (Foxit Corporation)
FF Plugin-x32: @java.com/DTPlugin,version=10.45.2 - C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 - c:\Program Files (x86)\Microsoft Silverlight\5.1.20913.0\npctrl.dll ( Microsoft Corporation)
FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml

==================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [84024 2013-09-13] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [108088 2013-09-13] (Avira Operations GmbH & Co. KG)
S2 DCMStandaloneSvc5; "E:\bios\dell\d630\dellcm_cleanup_service\DCMStandaloneSvc5.exe" [x]

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [105344 2013-09-13] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132088 2013-09-13] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-05-22] (Avira Operations GmbH & Co. KG)
R1 omci; C:\Windows\System32\DRIVERS\omci.sys [26624 2010-03-08] (Dell Inc.)
S3 LVPr2M64; system32\DRIVERS\LVPr2M64.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-11-13 12:08 - 2013-11-13 12:08 - 00006297 _____ C:\Users\M\Desktop\FRST.txt
2013-11-13 12:07 - 2013-11-13 12:07 - 01957610 _____ (Farbar) C:\Users\M\Desktop\FRST64.exe
2013-11-13 12:05 - 2013-08-16 13:56 - 00216064 _____ C:\Windows\SysWOW64\gcapi_dll.dll
2013-11-13 12:04 - 2013-11-13 12:04 - 00000000 ____D C:\Program Files (x86)\FOXIT SOFTWARE
2013-11-12 18:14 - 2013-11-12 18:14 - 103967092 _____ C:\Windows\SysWOW64\뒟�ᵌ[
2013-11-12 06:27 - 2013-11-12 06:27 - 00038838 _____ C:\Users\M\Documents\Ereignisse.txt
2013-11-12 02:07 - 2013-11-12 06:17 - 163606685 _____ C:\Users\M\Desktop\Apache_OpenOffice_4.0.1_Win_x86_install_de.exe
2013-11-11 23:38 - 2013-11-11 23:38 - 00000000 ____D C:\Windows\ERUNT
2013-11-11 23:33 - 2013-11-12 23:38 - 00001546 _____ C:\Windows\PFRO.log
2013-11-11 23:30 - 2013-11-11 23:32 - 00000000 ____D C:\AdwCleaner
2013-11-11 22:13 - 2013-11-11 22:39 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2013-11-11 03:06 - 2013-11-12 23:39 - 00000000 ____D C:\FRST
2013-11-10 23:56 - 2013-11-10 23:56 - 00000000 ____D C:\Users\M\AppData\Roaming\Malwarebytes
2013-11-10 23:56 - 2013-11-10 23:56 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-11-09 20:57 - 2013-11-09 20:57 - 00000589 _____ C:\Windows\wmsetup.log
2013-11-09 20:50 - 2013-09-04 13:12 - 00343040 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbhub.sys
2013-11-09 20:50 - 2013-09-04 13:11 - 00325120 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbport.sys
2013-11-09 20:50 - 2013-09-04 13:11 - 00099840 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbccgp.sys
2013-11-09 20:50 - 2013-09-04 13:11 - 00052736 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbehci.sys
2013-11-09 20:50 - 2013-09-04 13:11 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbuhci.sys
2013-11-09 20:50 - 2013-09-04 13:11 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbohci.sys
2013-11-09 20:50 - 2013-09-04 13:11 - 00007808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbd.sys
2013-11-06 03:25 - 2013-11-06 03:25 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-10-27 17:46 - 2013-10-27 17:47 - 02418406 _____ C:\Users\M\AppData\Local[j0007]-[p01].bmp
2013-10-17 10:56 - 2013-10-08 06:50 - 00096168 _____ (Oracle Corporation) C:\Windows\SysWOW64\WindowsAccessBridge-32.dll
2013-10-17 10:56 - 2013-10-08 06:46 - 00264616 _____ (Oracle Corporation) C:\Windows\SysWOW64\javaws.exe
2013-10-17 10:56 - 2013-10-08 06:46 - 00175016 _____ (Oracle Corporation) C:\Windows\SysWOW64\javaw.exe
2013-10-17 10:56 - 2013-10-08 06:46 - 00174504 _____ (Oracle Corporation) C:\Windows\SysWOW64\java.exe
2013-10-17 10:55 - 2013-10-17 10:56 - 00004249 _____ C:\Windows\SysWOW64\jupdate-1.7.0_45-b18.log
2013-10-15 00:39 - 2013-10-15 00:40 - 00802816 _____ C:\Users\M\Documents\Database2.accdb
2013-10-15 00:33 - 2013-10-15 00:38 - 01204224 _____ C:\Users\M\Documents\Database1.accdb
2013-10-14 18:26 - 2013-10-14 18:26 - 00000000 ____D C:\Users\M\AppData\Local\Microsoft Help

==================== One Month Modified Files and Folders =======

2013-11-13 12:08 - 2013-11-13 12:08 - 00006297 _____ C:\Users\M\Desktop\FRST.txt
2013-11-13 12:07 - 2013-11-13 12:07 - 01957610 _____ (Farbar) C:\Users\M\Desktop\FRST64.exe
2013-11-13 12:05 - 2013-08-13 05:47 - 00000000 ____D C:\Users\M\AppData\Roaming\Foxit Software
2013-11-13 12:04 - 2013-11-13 12:04 - 00000000 ____D C:\Program Files (x86)\FOXIT SOFTWARE
2013-11-13 11:37 - 2013-07-06 18:43 - 02095479 _____ C:\Windows\WindowsUpdate.log
2013-11-13 11:37 - 2009-07-14 05:45 - 00028320 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-11-13 11:37 - 2009-07-14 05:45 - 00028320 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-11-13 11:32 - 2013-07-15 17:46 - 00012971 _____ C:\Windows\setupact.log
2013-11-13 11:32 - 2013-02-13 11:58 - 00003508 _____ C:\Windows\System32\Tasks\AutoKMS
2013-11-13 11:32 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-11-13 02:18 - 2013-09-13 17:18 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-11-12 23:47 - 2013-02-14 18:02 - 00000000 ___RD C:\Users\M\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2013-11-12 23:39 - 2013-11-11 03:06 - 00000000 ____D C:\FRST
2013-11-12 23:38 - 2013-11-11 23:33 - 00001546 _____ C:\Windows\PFRO.log
2013-11-12 18:14 - 2013-11-12 18:14 - 103967092 _____ C:\Windows\SysWOW64\뒟�ᵌ[
2013-11-12 06:27 - 2013-11-12 06:27 - 00038838 _____ C:\Users\M\Documents\Ereignisse.txt
2013-11-12 06:17 - 2013-11-12 02:07 - 163606685 _____ C:\Users\M\Desktop\Apache_OpenOffice_4.0.1_Win_x86_install_de.exe
2013-11-11 23:38 - 2013-11-11 23:38 - 00000000 ____D C:\Windows\ERUNT
2013-11-11 23:34 - 2009-07-14 05:45 - 00432752 _____ C:\Windows\system32\FNTCACHE.DAT
2013-11-11 23:32 - 2013-11-11 23:30 - 00000000 ____D C:\AdwCleaner
2013-11-11 22:39 - 2013-11-11 22:13 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2013-11-11 17:44 - 2013-02-13 11:34 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-11-11 17:42 - 2011-04-12 08:54 - 00000000 ____D C:\Windows\ShellNew
2013-11-11 17:42 - 2009-07-14 06:32 - 00000000 ____D C:\Program Files (x86)\MSBuild
2013-11-11 17:42 - 2009-07-14 04:20 - 00000000 ____D C:\Program Files\Common Files\Microsoft Shared
2013-11-11 17:40 - 2009-07-14 04:20 - 00000000 ____D C:\Program Files\Common Files\System
2013-11-11 17:40 - 2009-07-14 03:34 - 00000422 _____ C:\Windows\win.ini
2013-11-11 07:30 - 2013-07-06 18:59 - 00000000 ____D C:\Lager
2013-11-10 23:56 - 2013-11-10 23:56 - 00000000 ____D C:\Users\M\AppData\Roaming\Malwarebytes
2013-11-10 23:56 - 2013-11-10 23:56 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-11-09 20:57 - 2013-11-09 20:57 - 00000589 _____ C:\Windows\wmsetup.log
2013-11-09 17:10 - 2013-07-06 19:00 - 00000275 _____ C:\Users\M\Desktop\downloaden.txt
2013-11-07 13:40 - 2011-04-12 08:43 - 00654166 _____ C:\Windows\system32\perfh007.dat
2013-11-07 13:40 - 2011-04-12 08:43 - 00130006 _____ C:\Windows\system32\perfc007.dat
2013-11-07 13:40 - 2009-07-14 06:13 - 01498506 _____ C:\Windows\system32\PerfStringBackup.INI
2013-11-06 09:28 - 2013-07-06 17:47 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-11-06 03:25 - 2013-11-06 03:25 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-10-30 19:22 - 2013-08-07 15:40 - 00000000 ____D C:\Program Files (x86)\Mozilla Thunderbird
2013-10-29 11:07 - 2013-07-14 05:04 - 00007601 _____ C:\Users\M\AppData\Local\Resmon.ResmonCfg
2013-10-27 17:47 - 2013-10-27 17:46 - 02418406 _____ C:\Users\M\AppData\Local[j0007]-[p01].bmp
2013-10-17 10:57 - 2013-09-13 17:19 - 00000000 ____D C:\ProgramData\Oracle
2013-10-17 10:56 - 2013-10-17 10:55 - 00004249 _____ C:\Windows\SysWOW64\jupdate-1.7.0_45-b18.log
2013-10-17 10:56 - 2013-09-13 17:19 - 00000000 ____D C:\Program Files (x86)\Java
2013-10-15 00:40 - 2013-10-15 00:39 - 00802816 _____ C:\Users\M\Documents\Database2.accdb
2013-10-15 00:38 - 2013-10-15 00:33 - 01204224 _____ C:\Users\M\Documents\Database1.accdb
2013-10-14 18:26 - 2013-10-14 18:26 - 00000000 ____D C:\Users\M\AppData\Local\Microsoft Help
2013-10-14 09:16 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\rescache

Some content of TEMP:
====================
C:\Users\M\AppData\Local\Temp\Checkupdate.exe
C:\Users\M\AppData\Local\Temp\Foxit Reader Updater.exe
C:\Users\M\AppData\Local\Temp\Foxit Updater.exe
C:\Users\M\AppData\Local\Temp\gcapi_dll.dll
C:\Users\M\AppData\Local\Temp\gtapi_signed.dll


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-11-11 16:09

==================== End Of Log ============================

--- --- ---

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 13-11-2013
Ran by M at 2013-11-13 12:08:55
Running from C:\Users\M\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AV: Avira Desktop (Disabled - Up to date) {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AS: Avira Desktop (Disabled - Up to date) {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

4660_4680_Help (x32 Version: 1.00.0000)
64 Bit HP CIO Components Installer (Version: 7.2.8)
Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.117)
Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.117)
Adobe Reader XI (11.0.05) - Deutsch (x32 Version: 11.0.05)
Avira Free Antivirus (x32 Version: 13.0.0.4052)
bpd_scan (x32 Version: 3.00.0000)
BPDSoftware (x32 Version: 140.0.000.000)
BPDSoftware_Ini (x32 Version: 1.00.0000)
BufferChm (x32 Version: 140.0.213.000)
CCleaner (Version: 4.01)
CloudReading (x32 Version: 1.0.27.1025)
Destinations (x32 Version: 130.0.0.0)
DeviceDiscovery (x32 Version: 140.0.213.000)
DocMgr (x32 Version: 140.0.65.000)
DocProc (x32 Version: 140.0.100.000)
Fax (x32 Version: 140.0.213.000)
Foxit Reader (x32 Version: 6.1.1.1031)
GIMP 2.8.6 (Version: 2.8.6)
GPBaseService2 (x32 Version: 140.0.212.000)
HP Customer Participation Program 14.0 (Version: 14.0)
HP Document Manager 2.0 (Version: 2.0)
HP Imaging Device Functions 14.0 (Version: 14.0)
HP OfficeJet J4600 All-In-One Series (Version: 14.0)
HP Solution Center 14.0 (Version: 14.0)
HP Update (x32 Version: 5.005.000.001)
HPProductAssistant (x32 Version: 140.0.213.000)
HPSSupply (x32 Version: 140.0.212.000)
Intel(R) Graphics Media Accelerator Driver (Version: 8.15.10.1930)
J4680 (x32 Version: 140.0.000.000)
Java 7 Update 45 (x32 Version: 7.0.450)
Java Auto Updater (x32 Version: 2.1.9.8)
MarketResearch (x32 Version: 140.0.214.000)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft Silverlight (Version: 5.1.20913.0)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219)
MozBackup 1.5.1 (x32)
Mozilla Firefox 25.0 (x86 de) (x32 Version: 25.0)
Mozilla Maintenance Service (x32 Version: 25.0)
Mozilla Thunderbird 24.1.0 (x86 de) (x32 Version: 24.1.0)
MSXML 4.0 SP2 (KB954430) (x32 Version: 4.20.9870.0)
MSXML 4.0 SP2 (KB973688) (x32 Version: 4.20.9876.0)
Network64 (Version: 140.0.215.000)
Network64 (Version: 140.0.221.000)
OCR Software by I.R.I.S. 14.0 (Version: 14.0)
OpenOffice 4.0.0 (x32 Version: 4.00.9702)
PDF24 Creator 5.6.0 (x32)
Pflanzen gegen Zombies (x32)
ProductContext (x32 Version: 140.0.000.000)
Scan (x32 Version: 140.0.167.000)
Shop for HP Supplies (Version: 14.0)
SolutionCenter (x32 Version: 140.0.214.000)
Status (x32 Version: 140.0.256.000)
Toolbox (x32 Version: 140.0.428.000)
TrayApp (x32 Version: 140.0.213.000)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939v3) (x32 Version: 3)
WebReg (x32 Version: 140.0.213.017)
Windows Live ID Sign-in Assistant (Version: 6.500.3165.0)

==================== Restore Points  =========================

11-11-2013 16:37:54 Removed Microsoft Office Professional Plus 2010

==================== Hosts content: ==========================

2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {0C53F5A1-458B-4180-B54D-FF9DF9308D4A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2013-02-13] ()
Task: {BBED477C-B800-4D9F-9249-B58122AF111E} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2013-04-23] (Piriform Ltd)
Task: {BF8ADC1D-478C-4A05-A5D8-5014AC5BFAA2} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc
Task: {C9DAD81F-932E-4DEB-8314-E967C24D370E} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-10-09] (Adobe Systems Incorporated)
Task: {EC69318C-8A1C-42EB-9F2E-EB536323F560} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe [2010-02-23] (Microsoft Corporation)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Loaded Modules (whitelisted) =============

2013-05-22 20:56 - 2013-05-22 20:55 - 00397704 _____ () C:\Program Files (x86)\Avira\AntiVir Desktop\sqlite3.dll
2013-11-06 03:25 - 2013-11-06 03:25 - 03368048 _____ () C:\Program Files (x86)\Mozilla Firefox\mozjs.dll

==================== Alternate Data Streams (whitelisted) =========


==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============


==================== Event log errors: =========================

Application errors:
==================
Error: (11/13/2013 11:33:59 AM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/13/2013 06:21:13 AM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/13/2013 02:58:23 AM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest2" in Zeile C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.

Error: (11/12/2013 11:39:56 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/12/2013 10:03:34 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/12/2013 10:02:17 PM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest2" in Zeile C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.

Error: (11/12/2013 07:08:09 PM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest2" in Zeile C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.

Error: (11/12/2013 05:34:20 PM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest2" in Zeile C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.

Error: (11/12/2013 04:17:38 PM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest2" in Zeile C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.

Error: (11/12/2013 04:17:34 PM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest2" in Zeile C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.


System errors:
=============
Error: (11/13/2013 11:32:20 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "DCMStandaloneSvc5" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%2

Error: (11/13/2013 06:19:34 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "DCMStandaloneSvc5" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%2

Error: (11/12/2013 11:38:19 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "DCMStandaloneSvc5" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%2

Error: (11/12/2013 11:37:26 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst Gruppenrichtlinienclient konnte nach dem Empfang eines Preshutdown-Steuerelements nicht richtig heruntergefahren werden.

Error: (11/12/2013 10:02:00 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "DCMStandaloneSvc5" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%2

Error: (11/12/2013 00:56:03 PM) (Source: Disk) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR2 gefunden.

Error: (11/12/2013 06:13:01 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "DCMStandaloneSvc5" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%2

Error: (11/12/2013 01:44:47 AM) (Source: DCOM) (User: )
Description: {995C996E-D918-4A8C-A302-45719A6F4EA7}


Microsoft Office Sessions:
=========================
Error: (11/13/2013 11:33:59 AM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/13/2013 06:21:13 AM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/13/2013 02:58:23 AM) (Source: SideBySide)(User: )
Description: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifestC:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifestC:\$Recycle.Bin\S-1-5-21-2786918615-2433670956-2625581188-1000\$RUBU9HR.exe

Error: (11/12/2013 11:39:56 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/12/2013 10:03:34 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/12/2013 10:02:17 PM) (Source: SideBySide)(User: )
Description: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifestC:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifestC:\Users\M\Desktop\esetsmartinstaller_enu.exe

Error: (11/12/2013 07:08:09 PM) (Source: SideBySide)(User: )
Description: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifestC:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifestC:\Program Files (x86)\ESET\ESET Online Scanner\ESETSmartInstaller.exe

Error: (11/12/2013 05:34:20 PM) (Source: SideBySide)(User: )
Description: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifestC:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifestc:\program files (x86)\ESET\eset online scanner\ESETSmartInstaller.exe

Error: (11/12/2013 04:17:38 PM) (Source: SideBySide)(User: )
Description: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifestC:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifestC:\Users\M\Desktop\esetsmartinstaller_enu.exe

Error: (11/12/2013 04:17:34 PM) (Source: SideBySide)(User: )
Description: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifestC:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifestC:\Users\M\Desktop\esetsmartinstaller_enu.exe


==================== Memory info =========================== 

Percentage of memory in use: 51%
Total physical RAM: 2037.97 MB
Available physical RAM: 990.02 MB
Total Pagefile: 4075.94 MB
Available Pagefile: 2559.04 MB
Total Virtual: 8192 MB
Available Virtual: 8191.81 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:74.43 GB) (Free:44.34 GB) NTFS
Drive e: () (Removable) (Total:14.92 GB) (Free:14.9 GB) FAT32

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 75 GB) (Disk ID: 34343434)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=74 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 15 GB) (Disk ID: 1EE625E5)
Partition 1: (Not Active) - (Size=15 GB) - (Type=0C)

==================== End Of Log ============================

cosinus · 13.11.2013, 15:51

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKLM\...\Run: [tmxnftcqgr] - wscript.exe //B "C:\Users\M\AppData\Local\Temp\tmxnftcqgr..vbs" <===== ATTENTION
HKCU\...\Run: [tmxnftcqgr] - wscript.exe //B "C:\Users\M\AppData\Local\Temp\tmxnftcqgr..vbs" <===== ATTENTION
C:\Windows\System32\Tasks\AutoKMS
C:\Users\M\AppData\Local\Temp\tmxnftcqgr..vbs
C:\Users\M\AppData\Local\Temp\Checkupdate.exe
C:\Users\M\AppData\Local\Temp\Foxit Reader Updater.exe
C:\Users\M\AppData\Local\Temp\Foxit Updater.exe
C:\Users\M\AppData\Local\Temp\gcapi_dll.dll
C:\Users\M\AppData\Local\Temp\gtapi_signed.dll

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Freibuerger · 13.11.2013, 20:09

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-11-2013
Ran by M at 2013-11-13 20:09:31 Run:2
Running from C:\Users\M\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
HKLM\...\Run: [tmxnftcqgr] - wscript.exe //B "C:\Users\M\AppData\Local\Temp\tmxnftcqgr..vbs" <===== ATTENTION
HKCU\...\Run: [tmxnftcqgr] - wscript.exe //B "C:\Users\M\AppData\Local\Temp\tmxnftcqgr..vbs" <===== ATTENTION
C:\Windows\System32\Tasks\AutoKMS
C:\Users\M\AppData\Local\Temp\tmxnftcqgr..vbs
C:\Users\M\AppData\Local\Temp\Checkupdate.exe
C:\Users\M\AppData\Local\Temp\Foxit Reader Updater.exe
C:\Users\M\AppData\Local\Temp\Foxit Updater.exe
C:\Users\M\AppData\Local\Temp\gcapi_dll.dll
C:\Users\M\AppData\Local\Temp\gtapi_signed.dll
         
*****************

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\tmxnftcqgr => Value deleted successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\tmxnftcqgr => Value deleted successfully.
C:\Windows\System32\Tasks\AutoKMS => Moved successfully.
"C:\Users\M\AppData\Local\Temp\tmxnftcqgr..vbs" => File/Directory not found.
C:\Users\M\AppData\Local\Temp\Checkupdate.exe => Moved successfully.
C:\Users\M\AppData\Local\Temp\Foxit Reader Updater.exe => Moved successfully.
C:\Users\M\AppData\Local\Temp\Foxit Updater.exe => Moved successfully.
C:\Users\M\AppData\Local\Temp\gcapi_dll.dll => Moved successfully.
C:\Users\M\AppData\Local\Temp\gtapi_signed.dll => Moved successfully.

==== End of Fixlog ====

cosinus · 13.11.2013, 22:33

Meckert der Virenscanner noch?

Freibuerger · 13.11.2013, 22:42

Momentan nicht. Nur auf dem Stick sieht's noch genau so aus: nur Verknüpfungen.
Sind die Dateien noch zu retten?

cosinus · 13.11.2013, 23:19

http://www.trojaner-board.de/59624-a...tml#post499985

Freibuerger · 13.11.2013, 23:30

hab ich!

cosinus · 13.11.2013, 23:59

Und? Die Dateien auf dem Stick sollten ja nun alle sichtbar sein.

Freibuerger · 14.11.2013, 00:11

Ja, dummerweise ist eine "tmxnftcqgr..vbs" jetzt auch sichtbar. Gut oder schlecht?

Die Dateien werden alle als Systemdateien erkannt, obwohl es pdf's und doc's sind. Irgendwas funktioniert da noch nicht richtig.

cosinus · 14.11.2013, 09:22

Zitat:

Ja, dummerweise ist eine "tmxnftcqgr..vbs" jetzt auch sichtbar. Gut oder schlecht?

Löschen

Zitat:

Die Dateien werden alle als Systemdateien erkannt, obwohl es pdf's und doc's sind. Irgendwas funktioniert da noch nicht richtig.

Die Attribute wurden verbogen

Starte die Eingabeaufforderung über Start, Alle Programme, Zubehör

Musst in der Eingabeauforderung jeweils für jeden versteckten Ordner diesen Befehl ausführen:

Code:

ATTFilter

attrib -s -h "x:\ordner" /s /d

x: => Muss angepasst werden, den passenden Buchstaben verwenden
"ordner" muss dann der jew. richtige Ordnername sein

Freibuerger · 14.11.2013, 10:43

Sorry, aber was gebe ich da ein, wenn die Dateien direkt im Hauptverzeichnis sind, also in keinem Ordner?
Ich habe attrib -s -h "e:\" /s /d eingegeben, funktioniert aber nicht

cosinus · 14.11.2013, 13:26

Dann gibst du statt dem Ordner mal das hier an:

Code:

ATTFilter

attrib -s -h "x:\*.*"

13.11.2013, 09:15	#18
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Nur noch Verknüpfungen auf USB-STick Bitte neue FRST-Logs machen. FRST neu runterladen und den Haken bei additions.txt setzen falls nciht gesetzt, dann erst auf Scan klicken __________________ __________________

13.11.2013, 22:33	#22
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Nur noch Verknüpfungen auf USB-STick Meckert der Virenscanner noch? __________________ Logfiles bitte immer in CODE-Tags posten

13.11.2013, 23:19	#24
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Nur noch Verknüpfungen auf USB-STick http://www.trojaner-board.de/59624-a...tml#post499985 __________________ Logfiles bitte immer in CODE-Tags posten

13.11.2013, 23:59	#26
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Nur noch Verknüpfungen auf USB-STick Und? Die Dateien auf dem Stick sollten ja nun alle sichtbar sein. __________________ Logfiles bitte immer in CODE-Tags posten

14.11.2013, 13:26	#30
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Nur noch Verknüpfungen auf USB-STick Dann gibst du statt dem Ordner mal das hier an: Code: ATTFilter attrib -s -h "x:\." __________________ Logfiles bitte immer in CODE-Tags posten

Nur noch Verknüpfungen auf USB-STick

Plagegeister aller Art und deren Bekämpfung: Nur noch Verknüpfungen auf USB-STick