Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 17.05.2014, 21:12   #1
Gen
 
Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da - Standard

Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da



Nabend,
wie im Titel schon kurz angerissen, habe ich vermutlich in den beiden genannten .exen vermutlich nen Virus, obwohl ich meine Festplatte schon mehfach formatiert habe und unter Linux den MBR formatiert habe.


Nochmal ganz von vorne, es handelt sich bei dem Computer eigentlich um einen komplett neu zusammengebauten Rechner, nur eine alte HDD wurde übernommen
(habe nachdem ich sie eingebaut hatte Windows von C: gelöscht) und nach und nach Programme nach der Neuinstallation auf der neuen SSD von der alten Platte runtergeschmissen.
Der Rechner in dem die alte Festplatte vorher verbaut war hatte ein paar Macken, die aber eher nach Hardwarefehlern, als nach nem Virus aussahen (wollte bei jedem Runterfahren ein Windows Update aufpielen, was im bluescreen endete).


Die ersten paar Tage sah beim neuen PC alles gut aus, bis er plötzlich ewig langsam hochfuhr (Eingabe des Benutzer-Passwortes geschah nur verzögert und der Begrüssungssound wurde abgehackt und verzerrt abgespielt)
desweiteren lief die CPU häufig auf 100% Leistung, ohne das ein Programm auch nur 1% auslasten würde.
Im Task-Manager traten dann csrss.exe und winlogon.exe ohne Benutzername und Beschreibung auf und man konnte ihren Dateipfad nich öffnen, noch ihre Eigenschaften aufrufen.

Dieses Phänomen mit csrss.exe und winlogon.exe bleibt nun nach x-facher Formatierung/Neuinstallation von Windows 7 64bit/und löschen des MBR unter Linux von CD gestarten immer noch komisch im Taskmanager.
Die alte Festplatte, von der ich vermute, dass der Virus kam habe ich nun abgestöpselt, sodass nur noch die neue PLatte benutzt wird, der Fehler bleibt aber weiterhin.

Gibt es noch weitere Möglichekeiten sowas zu entfernen, außer Formatieren/MBR löschen und wenn ja, habe ich eine danach eine Möglichkeit die Daten der alten Festplatte (habe sie auf ne externe gezogen) wieder zu bekommen, ohne das ganze Spiel wieder von vorne zu beginnen?

Hoffe mir kann geholfen werden, danke schonmal an alle die meinen zu langen Text lesen^^.

anbei noch die log files
Angehängte Dateien
Dateityp: log defogger_disable.log (468 Bytes, 115x aufgerufen)
Dateityp: txt FRST.txt (18,5 KB, 114x aufgerufen)
Dateityp: txt Addition.txt (7,7 KB, 113x aufgerufen)

Alt 17.05.2014, 21:16   #2
Bootsektor
/// TB-Ausbilder
 
Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da - Standard

Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da





Mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem
  • Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
  • Poste die Logfiles direkt in deinen Thread in Code-Tags.
  • Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 2 Tagen nichts von mir hörst, dann schreibe mir bitte eine PM.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und bei einem Befall durch Malware immer der sicherste Weg. Adware lässt sich in den allermeisten Fällen problemlos entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.

Posten in Code Tags
Bitte füge die Logs immer in Code-Tags ein. Wenn Du das nicht machst, erschwert es mir sehr das Auswerten. Danke.
Dazu:
  • Klicke über dem Antwortfenster auf die Raute #, dann steht dort in eckigen Klammern [] CODE /CODE.
  • Zwischen den beiden code-Bausteinen fügst Du dann deine Logfiles ein. Also CODE Logfile /CODE
  • Wenn die Logs zu lang sein sollten, dann teile sie bitte auf und poste sie dann hier in Deinem Thread, notfalls in mehreren Antworten.

Schritt 1
Bitte poste deine Logfiles hier in Code-Tags ( Anleitung siehe oben) in deinen Thread
__________________

__________________

Alt 17.05.2014, 23:14   #3
Gen
 
Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da - Standard

Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da



Ok habe sie als Code-Tags eingefügt.

defogger disable log
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:00 on 17/05/2014 (rkl)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         
FRST log
FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 17-05-2014
Ran by rkl (administrator) on ARBEITSZIMMER on 17-05-2014 21:00:54
Running from C:\Users\rkl\Downloads
Platform: Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal



==================== Processes (Whitelisted) =================

(Intel) D:\Drivers\LAN\Intel\(v18.5_PV)\AUTORUN.EXE
(Microsoft Corporation) C:\Windows\System32\msiexec.exe
(Intel Corporation) C:\Windows\System32\IPROSetMonitor.exe


==================== Registry (Whitelisted) ==================

HKU\S-1-5-21-1918603426-3789014278-2537481345-1000\...\MountPoints2: {029e59ec-ddda-11e3-9df1-806e6f6e6963} - D:\ASRSetup.exe

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xB8CD71D20172CF01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========

==================== Services (Whitelisted) =================


==================== Drivers (Whitelisted) ====================

R3 e1dexpress; C:\Windows\System32\DRIVERS\e1d62x64.sys [495376 2013-05-30] (Intel Corporation)
R1 Serial; C:\Windows\System32\DRIVERS\serial.sys [94208 2009-07-14] (Brother Industries Ltd.)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-05-17 21:00 - 2014-05-17 21:00 - 00002152 _____ () C:\Users\rkl\Downloads\FRST.txt
2014-05-17 21:00 - 2014-05-17 21:00 - 00000468 _____ () C:\Users\rkl\Downloads\defogger_disable.log
2014-05-17 21:00 - 2014-05-17 21:00 - 00000000 ____D () C:\FRST
2014-05-17 21:00 - 2014-05-17 21:00 - 00000000 _____ () C:\Users\rkl\defogger_reenable
2014-05-17 20:59 - 2014-05-17 20:59 - 02067456 _____ (Farbar) C:\Users\rkl\Downloads\FRST64.exe
2014-05-17 20:59 - 2014-05-17 20:59 - 00380416 _____ () C:\Users\rkl\Downloads\Gmer-19357.exe
2014-05-17 20:58 - 2014-05-17 20:58 - 00050477 _____ () C:\Users\rkl\Downloads\Defogger.exe
2014-05-17 20:56 - 2014-05-17 20:56 - 00000000 ____D () C:\Program Files\Intel
2014-05-17 20:56 - 2013-07-03 20:05 - 00552760 ____R (Intel Corporation) C:\Windows\system32\PROUnstl.exe
2014-05-17 20:56 - 2013-05-30 02:54 - 00495376 _____ (Intel Corporation) C:\Windows\system32\Drivers\e1d62x64.sys
2014-05-17 20:56 - 2013-05-10 21:48 - 00073480 _____ (Intel Corporation) C:\Windows\system32\e1dmsg.dll
2014-05-17 20:56 - 2013-03-01 22:42 - 00101152 _____ (Intel Corporation) C:\Windows\system32\NicInstD.dll
2014-05-17 20:56 - 2012-01-06 08:03 - 00003114 _____ () C:\Windows\system32\e1d62x64.din
2014-05-17 20:56 - 2009-05-26 04:05 - 00036472 _____ (Intel Corporation) C:\Windows\system32\NicCo36.dll
2014-05-17 20:56 - 2006-01-12 09:52 - 00001904 ____N () C:\Windows\system32\SetupBD.din
2014-05-17 18:43 - 2014-05-17 17:57 - 00000000 ____D () C:\Windows\Panther
2014-05-17 18:12 - 2014-05-17 18:15 - 00000000 _____ () C:\Windows\dir
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\csrss.exe
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\csrss
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\cd
2014-05-17 18:04 - 2014-05-17 18:04 - 00270896 _____ () C:\Windows\Minidump\051714-1934-01.dmp
2014-05-17 18:02 - 2014-05-17 20:57 - 00004578 _____ () C:\Windows\WindowsUpdate.log
2014-05-17 18:02 - 2014-05-17 18:04 - 229294639 _____ () C:\Windows\MEMORY.DMP
2014-05-17 18:02 - 2014-05-17 18:04 - 00000000 ____D () C:\Windows\Minidump
2014-05-17 18:02 - 2014-05-17 18:02 - 00270896 _____ () C:\Windows\Minidump\051714-2449-01.dmp
2014-05-17 17:57 - 2014-05-17 21:00 - 00000000 ____D () C:\Users\rkl
2014-05-17 17:57 - 2014-05-17 17:57 - 00001443 _____ () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2014-05-17 17:57 - 2014-05-17 17:57 - 00001409 _____ () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
2014-05-17 17:57 - 2014-05-17 17:57 - 00000020 ___SH () C:\Users\rkl\ntuser.ini
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Vorlagen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Startmenü
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Netzwerkumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Lokale Einstellungen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Eigene Dateien
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Druckumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\AppData\Local\Verlauf
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\AppData\Local\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Vorlagen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Startmenü
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Netzwerkumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Lokale Einstellungen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Eigene Dateien
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Druckumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\AppData\Local\Verlauf
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\AppData\Local\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\AppData\Local\Verlauf
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\AppData\Local\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Vorlagen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Startmenü
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Favoriten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Dokumente
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Program Files\Gemeinsame Dateien
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Dokumente und Einstellungen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 __SHD () C:\Recovery
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 ___RD () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 ___RD () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 ____D () C:\Users\rkl\AppData\Local\VirtualStore
2014-05-17 17:57 - 2009-07-14 06:54 - 00000000 ___RD () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
2014-05-17 17:57 - 2009-07-14 06:49 - 00000000 ___RD () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
2014-05-17 17:44 - 2014-05-17 17:44 - 00001355 _____ () C:\Windows\TSSysprep.log
2014-05-17 17:44 - 2014-05-17 17:44 - 00001345 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
2014-05-17 17:44 - 2014-05-17 17:44 - 00001326 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk

==================== One Month Modified Files and Folders =======

2014-05-17 21:00 - 2014-05-17 21:00 - 00002152 _____ () C:\Users\rkl\Downloads\FRST.txt
2014-05-17 21:00 - 2014-05-17 21:00 - 00000468 _____ () C:\Users\rkl\Downloads\defogger_disable.log
2014-05-17 21:00 - 2014-05-17 21:00 - 00000000 ____D () C:\FRST
2014-05-17 21:00 - 2014-05-17 21:00 - 00000000 _____ () C:\Users\rkl\defogger_reenable
2014-05-17 21:00 - 2014-05-17 17:57 - 00000000 ____D () C:\Users\rkl
2014-05-17 20:59 - 2014-05-17 20:59 - 02067456 _____ (Farbar) C:\Users\rkl\Downloads\FRST64.exe
2014-05-17 20:59 - 2014-05-17 20:59 - 00380416 _____ () C:\Users\rkl\Downloads\Gmer-19357.exe
2014-05-17 20:58 - 2014-05-17 20:58 - 00050477 _____ () C:\Users\rkl\Downloads\Defogger.exe
2014-05-17 20:57 - 2014-05-17 18:02 - 00004578 _____ () C:\Windows\WindowsUpdate.log
2014-05-17 20:56 - 2014-05-17 20:56 - 00000000 ____D () C:\Program Files\Intel
2014-05-17 20:35 - 2009-07-14 06:45 - 00016832 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-05-17 20:35 - 2009-07-14 06:45 - 00016832 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-05-17 19:28 - 2009-07-14 07:32 - 00000000 ____D () C:\Windows\system32\restore
2014-05-17 19:07 - 2011-04-12 09:43 - 00643628 _____ () C:\Windows\system32\perfh007.dat
2014-05-17 19:07 - 2011-04-12 09:43 - 00126188 _____ () C:\Windows\system32\perfc007.dat
2014-05-17 19:07 - 2009-07-14 07:13 - 01472002 _____ () C:\Windows\system32\PerfStringBackup.INI
2014-05-17 19:03 - 2009-07-14 07:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2014-05-17 19:03 - 2009-07-14 06:51 - 00022242 _____ () C:\Windows\setupact.log
2014-05-17 18:43 - 2009-07-14 07:38 - 00025600 ___SH () C:\Windows\system32\config\BCD-Template.LOG
2014-05-17 18:43 - 2009-07-14 07:32 - 00028672 _____ () C:\Windows\system32\config\BCD-Template
2014-05-17 18:15 - 2014-05-17 18:12 - 00000000 _____ () C:\Windows\dir
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\csrss.exe
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\csrss
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\cd
2014-05-17 18:04 - 2014-05-17 18:04 - 00270896 _____ () C:\Windows\Minidump\051714-1934-01.dmp
2014-05-17 18:04 - 2014-05-17 18:02 - 229294639 _____ () C:\Windows\MEMORY.DMP
2014-05-17 18:04 - 2014-05-17 18:02 - 00000000 ____D () C:\Windows\Minidump
2014-05-17 18:02 - 2014-05-17 18:02 - 00270896 _____ () C:\Windows\Minidump\051714-2449-01.dmp
2014-05-17 17:57 - 2014-05-17 18:43 - 00000000 ____D () C:\Windows\Panther
2014-05-17 17:57 - 2014-05-17 17:57 - 00001443 _____ () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2014-05-17 17:57 - 2014-05-17 17:57 - 00001409 _____ () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
2014-05-17 17:57 - 2014-05-17 17:57 - 00000020 ___SH () C:\Users\rkl\ntuser.ini
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Vorlagen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Startmenü
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Netzwerkumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Lokale Einstellungen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Eigene Dateien
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Druckumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\AppData\Local\Verlauf
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\AppData\Local\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Vorlagen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Startmenü
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Netzwerkumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Lokale Einstellungen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Eigene Dateien
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Druckumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\AppData\Local\Verlauf
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\AppData\Local\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\AppData\Local\Verlauf
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\AppData\Local\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Vorlagen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Startmenü
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Favoriten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Dokumente
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Program Files\Gemeinsame Dateien
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Dokumente und Einstellungen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 __SHD () C:\Recovery
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 ___RD () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 ___RD () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 ____D () C:\Users\rkl\AppData\Local\VirtualStore
2014-05-17 17:57 - 2009-07-14 05:20 - 00000000 __RHD () C:\Users\Default
2014-05-17 17:57 - 2009-07-14 05:20 - 00000000 ____D () C:\Windows\rescache
2014-05-17 17:57 - 2009-07-14 05:20 - 00000000 ____D () C:\Program Files\Windows NT
2014-05-17 17:45 - 2009-07-14 06:45 - 00274464 _____ () C:\Windows\system32\FNTCACHE.DAT
2014-05-17 17:44 - 2014-05-17 17:44 - 00001355 _____ () C:\Windows\TSSysprep.log
2014-05-17 17:44 - 2014-05-17 17:44 - 00001345 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
2014-05-17 17:44 - 2014-05-17 17:44 - 00001326 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk
2014-05-17 17:44 - 2009-07-14 07:32 - 00000000 ___RD () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games
2014-05-17 17:44 - 2009-07-14 06:46 - 00002790 _____ () C:\Windows\DtcInstall.log
2014-05-17 17:44 - 2009-07-14 05:20 - 00000000 ___RD () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories
2014-05-17 17:44 - 2009-07-14 05:20 - 00000000 ____D () C:\Windows\system32\sysprep

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2014-05-17 19:21

==================== End Of Log ============================
         
--- --- ---


FRST Addition log
Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 17-05-2014
Ran by rkl at 2014-05-17 21:01:02
Running from C:\Users\rkl\Downloads
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

Intel(R) Network Connections 18.5.54.0 (HKLM\...\PROSetDX) (Version: 18.5.54.0 - Intel)
Intel(R) Network Connections 18.5.54.0 (Version: 18.5.54.0 - Intel) Hidden
VC_CRT_x64 (Version: 1.02.0000 - Intel Corporation) Hidden

==================== Restore Points  =========================

17-05-2014 17:28:06 Geplanter Prüfpunkt
17-05-2014 18:56:08 Installed Intel(R) Network Connections.

==================== Hosts content: ==========================

2009-07-14 04:34 - 2009-06-10 23:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============


==================== Loaded Modules (whitelisted) =============


==================== Alternate Data Streams (whitelisted) =========


==================== Safe Mode (whitelisted) ===================


==================== EXE Association (whitelisted) =============


==================== Disabled items from MSCONFIG ==============


==================== Faulty Device Manager Devices =============

Name: USB (Universal Serial Bus)-Controller
Description: USB (Universal Serial Bus)-Controller
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: PCI-Kommunikationscontroller (einfach)
Description: PCI-Kommunikationscontroller (einfach)
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: SM-Bus-Controller
Description: SM-Bus-Controller
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: 
Description: 
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (05/17/2014 07:05:12 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/17/2014 06:06:26 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/17/2014 05:57:24 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


System errors:
=============
Error: (05/17/2014 07:33:56 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Superfetch" wurde mit folgendem Fehler beendet: 
%%1062

Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
AFD
DfsC
discache
NetBIOS
NetBT
nsiproxy
Psched
rdbss
spldr
tdx
Wanarpv6
WfpLwf

Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "NLA (Network Location Awareness)" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "SMB 2.0-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "SMB 1.x-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "SMB-Miniredirector-Wrapper und -Modul" ist vom Dienst "Umgeleitetes Puffersubsystem" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%31

Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "IP-Hilfsdienst" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Arbeitsstationsdienst" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Netzwerkspeicher-Schnittstellendienst" ist vom Dienst "NSI proxy service driver." abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%31

Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "TCP/IP-NetBIOS-Hilfsdienst" ist vom Dienst "Ancillary Function Driver for Winsock" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%31


Microsoft Office Sessions:
=========================
Error: (05/17/2014 07:05:12 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/17/2014 06:06:26 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/17/2014 05:57:24 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


==================== Memory info =========================== 

Percentage of memory in use: 23%
Total physical RAM: 3749.08 MB
Available physical RAM: 2861.02 MB
Total Pagefile: 7496.36 MB
Available Pagefile: 6633.04 MB
Total Virtual: 8192 MB
Available Virtual: 8191.82 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:111.69 GB) (Free:97.21 GB) NTFS
Drive d: (ASRock SupportCD) (CDROM) (Total:3.42 GB) (Free:0 GB) CDFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 112 GB) (Disk ID: 2C158E28)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=112 GB) - (Type=07 NTFS)

==================== End Of Log ============================
         
Gmer log
Code:
ATTFilter
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-05-17 21:04:21
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 Samsung_SSD_840_EVO_120GB rev.EXT0BB6Q 111,79GB
Running: Gmer-19357.exe; Driver: C:\Users\rkl\AppData\Local\Temp\kgtoipog.sys


---- User code sections - GMER 2.1 ----

.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!CreateWindowExW                                                                                             0000000075918a29 5 bytes JMP 00000001725a3834
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!DialogBoxIndirectParamW                                                                                     000000007593cbf3 5 bytes JMP 00000001726ddcd8
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!DialogBoxParamW                                                                                             000000007593cfca 5 bytes JMP 00000001724d7f59
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!DialogBoxParamA                                                                                             000000007595cb0c 5 bytes JMP 00000001726ddc75
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!DialogBoxIndirectParamA                                                                                     000000007595ce64 5 bytes JMP 00000001726ddd3b
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!MessageBoxIndirectA                                                                                         000000007596fbd1 5 bytes JMP 00000001726ddc0a
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!MessageBoxIndirectW                                                                                         000000007596fc9d 5 bytes JMP 00000001726ddb9f
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!MessageBoxExA                                                                                               000000007596fcd6 5 bytes JMP 00000001726ddb3d
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!MessageBoxExW                                                                                               000000007596fcfa 5 bytes JMP 00000001726ddadb
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\OLEAUT32.dll!OleCreatePropertyFrameIndirect                                                                            0000000076aa93fc 5 bytes JMP 00000001726de83a
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                    00000000753a1465 2 bytes [3A, 75]
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                   00000000753a14bb 2 bytes [3A, 75]
.text  ...                                                                                                                                                                                                    * 2
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2\comctl32.dll!PropertySheetW  0000000073b1388e 5 bytes JMP 00000001726df282
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2\comctl32.dll!PropertySheet   0000000073bb7922 5 bytes JMP 00000001726df323
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\comdlg32.dll!PageSetupDlgW                                                                                             00000000767e2694 5 bytes JMP 00000001726dea33
?      C:\Windows\system32\mssprxy.dll [2472] entry point in ".rdata" section                                                                                                                                 00000000732371e6
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!CreateWindowExW                                                                                             0000000075918a29 5 bytes JMP 00000001725a3834
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!GetKeyState                                                                                                 000000007592291f 5 bytes JMP 00000001724d0f59
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!EnableWindow                                                                                                0000000075922da4 5 bytes JMP 00000001724ca855
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!CallNextHookEx                                                                                              0000000075926285 5 bytes JMP 0000000172513c96
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW                                                                                           0000000075927603 5 bytes JMP 0000000172567df9
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!CreateDialogIndirectParamA                                                                                  000000007592b029 5 bytes JMP 00000001726de9c5
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!CreateDialogIndirectParamW                                                                                  000000007592c63e 5 bytes JMP 00000001726de9fc
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!IsDialogMessage                                                                                             00000000759350ed 5 bytes JMP 00000001726de191
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!CreateDialogParamA                                                                                          0000000075935246 5 bytes JMP 00000001726de957
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!EndDialog                                                                                                   000000007593b99c 5 bytes JMP 00000001724cb000
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!IsDialogMessageW                                                                                            000000007593c701 5 bytes JMP 00000001724cadae
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!DialogBoxIndirectParamW                                                                                     000000007593cbf3 5 bytes JMP 00000001726ddcd8
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!DialogBoxParamW                                                                                             000000007593cfca 5 bytes JMP 00000001724d7f59
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState                                                                                            000000007593eb96 5 bytes JMP 00000001724cb202
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!UnhookWindowsHookEx                                                                                         000000007593f52b 5 bytes JMP 00000001725cd963
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!SendInput                                                                                                   000000007593ff4a 5 bytes JMP 00000001726df11c
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!CreateDialogParamW                                                                                          00000000759410dc 5 bytes JMP 00000001726de98e
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!SetKeyboardState                                                                                            00000000759414b2 5 bytes JMP 00000001726de4f6
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!SetCursorPos                                                                                                0000000075959cfd 5 bytes JMP 00000001726df174
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!DialogBoxParamA                                                                                             000000007595cb0c 5 bytes JMP 00000001726ddc75
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!DialogBoxIndirectParamA                                                                                     000000007595ce64 5 bytes JMP 00000001726ddd3b
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!MessageBoxIndirectA                                                                                         000000007596fbd1 5 bytes JMP 00000001726ddc0a
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!MessageBoxIndirectW                                                                                         000000007596fc9d 5 bytes JMP 00000001726ddb9f
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!MessageBoxExA                                                                                               000000007596fcd6 5 bytes JMP 00000001726ddb3d
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!MessageBoxExW                                                                                               000000007596fcfa 5 bytes JMP 00000001726ddadb
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!keybd_event                                                                                                 00000000759702bf 5 bytes JMP 00000001726df4a7
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\ole32.dll!OleLoadFromStream                                                                                            00000000768e6143 5 bytes JMP 00000001726de036
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\ole32.dll!CoCreateInstance                                                                                             0000000076929d0b 5 bytes JMP 00000001725a33c2
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\OLEAUT32.dll!SysFreeString                                                                                             0000000076a43e59 5 bytes JMP 00000001725bd8fb
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\OLEAUT32.dll!VariantClear                                                                                              0000000076a43eae 5 bytes JMP 00000001725be408
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\OLEAUT32.dll!SysAllocStringByteLen                                                                                     0000000076a44731 5 bytes JMP 00000001726dec33
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\OLEAUT32.dll!VariantChangeType                                                                                         0000000076a45dee 5 bytes JMP 00000001726dec7e
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\OLEAUT32.dll!OleCreatePropertyFrameIndirect                                                                            0000000076aa93fc 5 bytes JMP 00000001726de83a
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                    00000000753a1465 2 bytes [3A, 75]
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                   00000000753a14bb 2 bytes [3A, 75]
.text  ...                                                                                                                                                                                                    * 2
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2\comctl32.dll!PropertySheetW  0000000073b1388e 5 bytes JMP 00000001726df282
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2\comctl32.dll!PropertySheet   0000000073bb7922 5 bytes JMP 00000001726df323
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\comdlg32.dll!PrintDlgW                                                                                                 00000000767d33a3 5 bytes JMP 00000001726deacd
.text  C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\comdlg32.dll!PageSetupDlgW                                                                                             00000000767e2694 5 bytes JMP 00000001726dea33

---- EOF - GMER 2.1 ----
         
__________________

Alt 18.05.2014, 00:08   #4
Bootsektor
/// TB-Ausbilder
 
Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da - Standard

Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da



Hallo,

zuerst, es ist normal, dass du von diesen Dateien den Benutzer und den Dateipfad nicht angezeigt bekommst.
Hast du diesen Ordner und diese Datei unter Windows erstellt?
Zitat:
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\csrss.exe
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\csrss
Schritt 1
  • öffne den Taskmanager
  • gehe auf Prozesse
  • klicke auf Prozesse aller Benutzer anzeigen (unten links)
  • suche die Prozesse winlogon.exe und csrss.exe
  • Rechtsklicke auf die jeweilige Datei
  • wähle Eigenschaften aus (linksklick)
  • poste mir den Dateipfad der dort steht

Alt 18.05.2014, 18:55   #5
Gen
 
Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da - Standard

Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da



csrss.exe C:\Windows\System32

winlogon.exe C:\Windows\System32


Das es normal ist, dass diese beiden keine Dateipfad/Beschreibung haben, ist bei zwei anderen PCs von mir jedoch nicht der Fall, bei diesen sind von Anfang an die Beschreibungen beider Prozesse da,
bei einem dritten PC, mit dem ich es nun verglichen habe jedoch nicht.

Vielleicht ist der Fehler ja weg,
es hat nach dem Formatieren immer einige Zeit gebraucht, bis die Fehler (verzögerte Eingabe des Passworts, verzerrte Sounds beim Hochfahren) auftraten.

Momentan läuft der PC rund, aber es ist auch nur Windows + der Lan Treiber drauf (und die Porgramme um die drei Logs zu erstellen).

Der Pc lief nun ein paar Stunden wieder normal, aber jetzt fängt er (wenn auch leichter) wieder damit an den Begrüßungssound leicht verzerrt abzuspielen und bei der Eingabe des Benutzerpassworts alles leicht verzögert anzunehmen.
Sobald man dann aufm desktop ist, ist alles normal.


Alt 18.05.2014, 23:31   #6
Bootsektor
/// TB-Ausbilder
 
Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da - Standard

Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da



Hallo Gen,

hattest du meine Frage nach der csrss.exe und dem Ordner gelesen?

Es ist in diesem Fall normal, weil dir die entsprechenden administrativen Berechtigungen fehlen.
Die Pfade sind absolut in Ordnung.

Zitat:
Vielleicht ist der Fehler ja weg,
es hat nach dem Formatieren immer einige Zeit gebraucht, bis die Fehler (verzögerte Eingabe des Passworts, verzerrte Sounds beim Hochfahren) auftraten.
Wenn du den PC formatiert hast, ist es sehr unwahrscheinlich, dass diese Fehler von Malware kommen.

Zitat:
Momentan läuft der PC rund, aber es ist auch nur Windows + der Lan Treiber drauf (und die Porgramme um die drei Logs zu erstellen).
Ja, das Log sieht auch recht nackig aus.
__________________
--> Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da

Alt 19.05.2014, 14:42   #7
Gen
 
Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da - Standard

Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da



Welche Frage meinst du jetzt genau zu der csrss.exe: "Hast du diesen Ordner und diese Datei unter Windows erstellt?" also von Hand habe ich nix gemacht, wird ja wohl bei der Installation von Windows gemacht, den Ort der beiden Dateien hatte ich dir gepostet.

Aber ich glaube mittlerweile nicht mehr, dass es sich um nen Virus handelt,
(das die beiden genannten exen manchmal ohne Beschreibung im Taskmanager sind habe ich nun gelernt)
irgentwo im Netz hatte ich halt aufgeschnappt, dass das nicht normal ist und zwei andere Rechner die als Vergleich dienten hatten mir dies ja auch bestätigt.
Meine jetzige Vermutung ist, dass die neue Festplatte beschädigt ist (installiere morgen mal zum Testen auf einer anderen) und das hat im Zusammenspiel mit einem mal gefundenen Virus, der wohl drauf war so ausgesehen, als wenn der immernoch da ist.



Sollte es nicht an der Festplatte liegen wäre ich aber sehr ratlos, bei 50% der Hochfahrvorgänge hängt der PC sich halt halb auf und der Sound stottert, läuft danach aber 100% einwandfrei.

Trotzdem danke für die Hilfe und Mühe, hoffentlich klärt sich das nachher auf.

Ok es hat sich geklärt, es liegt an der neuen/kaputt gelieferten Festplatte...
Und das mit dem csrss.exe und winlogon.exe hat sich auch geklärt, wenn man die Benutzerkontensteuerung auf's niedrigste stellt wird alles angezeigt...

Naja trotzdem danke nochmal, Problem hat sich gelöst^^.

Alt 19.05.2014, 22:26   #8
Bootsektor
/// TB-Ausbilder
 
Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da - Standard

Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da



Hallo Gen,

sehr schön, dass sich das Problem gelöst hat.

Alles Gute.

Somit ist dieses Thema erledigt, falls du noch Fragen haben solltest oder es Probleme gibt, so schicke mir bitte eine PN

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Antwort

Themen zu Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da
100%, bluescreen, computer, cpu, csrss.exe, entfernen, festplatte, file, formatierung, gelöscht, langsam, linux, log file, löschen, neu, neue, programme, rechner, runterfahren, task-manager, update, virus, windows, windows update, winlogon.exe



Ähnliche Themen: Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da


  1. WINODWS 7 - BOO/TDss.O Virus nach Formatierung immer noch da
    Plagegeister aller Art und deren Bekämpfung - 17.11.2013 (24)
  2. Nach Formatierung noch Malware vorhanden?
    Log-Analyse und Auswertung - 22.07.2013 (22)
  3. Nach Formatierung kommt immer noch Avira Meldung> Virenmeldung Malware
    Plagegeister aller Art und deren Bekämpfung - 02.11.2012 (1)
  4. Winlogon.exe & csrss.exe...Virus? Trojan (?)
    Plagegeister aller Art und deren Bekämpfung - 14.09.2012 (22)
  5. Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook
    Plagegeister aller Art und deren Bekämpfung - 22.09.2011 (9)
  6. Tdss.D Virus Trots Formatierung immer noch da
    Plagegeister aller Art und deren Bekämpfung - 17.09.2011 (1)
  7. Facebook-Virus?, *.JPG.scr geöffnet, Folge: winsvc.exe, csrss.exe, atiedxx.exe, winlogon.exe
    Log-Analyse und Auswertung - 16.08.2011 (2)
  8. Nach Formatierung immer noch Viren
    Log-Analyse und Auswertung - 27.01.2011 (8)
  9. nach formatierung immer noch probleme mit pc
    Plagegeister aller Art und deren Bekämpfung - 25.08.2010 (13)
  10. PC Spiele laufen nach Formatierung immer noch nicht flüssig
    Log-Analyse und Auswertung - 18.08.2010 (0)
  11. Trojaner nach Formatierung immer noch vorhanden- Trojaner auf externer HD?
    Plagegeister aller Art und deren Bekämpfung - 30.12.2009 (11)
  12. MSN Virus nach Formatierung noch aktiv
    Plagegeister aller Art und deren Bekämpfung - 17.05.2009 (3)
  13. Nach Formatierung Virus immer noch da. Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 21.02.2009 (4)
  14. TR Crypt FKM Gen nach Formatierung noch vorhanden?
    Plagegeister aller Art und deren Bekämpfung - 12.09.2008 (2)
  15. Nach "Formatierung" Dateien immer noch vorhanden
    Alles rund um Windows - 17.01.2008 (14)
  16. Virus nach Formatierung immer noch da
    Log-Analyse und Auswertung - 07.10.2007 (10)
  17. Wurm/Virus nach formatierung immer wieder da!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2007 (2)

Zum Thema Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da - Nabend, wie im Titel schon kurz angerissen, habe ich vermutlich in den beiden genannten .exen vermutlich nen Virus, obwohl ich meine Festplatte schon mehfach formatiert habe und unter Linux den - Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da...
Archiv
Du betrachtest: Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.