![]() |
|
Log-Analyse und Auswertung: Windows7 Trojana abgesicherter Modus nicht möglichWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
| ![]() Windows7 Trojana abgesicherter Modus nicht möglich Hallo Liebe Forenhelfer, auf dem Computer meines Freundes mit Windows 7 (64Bit) hat sich wohl einen Trojaner eingefangen, denn nach dem starten öffnet sich ein fenster mit Interpol und das man strafe bezahlen muss. Beim Starten im gesicherten Modus fährt sich der Computer danach automatisch runter. Ich bin diesen Anweisungen gefolgt http://www.trojaner-board.de/165411-...-moeglich.html und ich hoffe ihr könnt mir nun sagen was ich jetzt zu tun habe. Ich bedanke mich schon mal im Vorraus. Liebe Grüße Sandra Hier der Text: Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:31-08-2015 durchgeführt von SYSTEM auf MININT-02B4G9L (02-09-2015 18:31:39) Gestartet von l:\ Platform: Windows 7 Home Premium (X64) Sprache: Deutsch (Deutschland) Internet Explorer Version 8 Start-Modus: Recovery Standard: ControlSet001 ACHTUNG!:=====> Wenn das System startfähig ist sollte FRST im normalen oder abgesicherten Modus ausgeführt werden, um ein vollständiges Ergebnis zu erhalten. Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Registry (Nicht auf der Ausnahmeliste) =========================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.) HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [9608224 2009-11-17] (Realtek Semiconductor) HKLM\...\Run: [Ocs_SM] => C:\Users\Christian\AppData\Roaming\OCS\SM\SearchAnonymizer.exe [106496 2011-01-08] (OCS) HKLM-x32\...\Run: [Norton Online Backup] => C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuClient.exe [1155928 2010-06-01] (Symantec Corporation) HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [35696 2009-02-27] (Adobe Systems Incorporated) HKLM-x32\...\Run: [Hotkey Utility] => C:\Program Files (x86)\Packard Bell\Hotkey Utility\HotkeyUtility.exe [611872 2010-08-04] () HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-01-13] (Advanced Micro Devices, Inc.) HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2010-11-29] (Apple Inc.) HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [421160 2011-04-26] (Apple Inc.) HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [ApnUpdater] => C:\Program Files (x86)\Ask.com\Updater\Updater.exe [1648056 2014-01-31] (Ask) HKLM-x32\...\Run: [avgnt] => C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [689744 2014-03-05] (Avira Operations GmbH & Co. KG) HKLM-x32\...\Run: [Iminent] => C:\Program Files (x86)\Iminent\Iminent.exe [1074736 2013-06-18] (Iminent) HKLM-x32\...\Run: [IminentMessenger] => C:\Program Files (x86)\Iminent\Iminent.Messengers.exe [884784 2013-06-18] (Iminent) HKLM-x32\...\Run: [ZoneAlarm] => C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe [73832 2013-03-05] (Check Point Software Technologies LTD) HKU\Christian\...\Run: [RegistryBooster] => C:\Program Files (x86)\Uniblue\RegistryBooster\launcher.exe [67456 2011-08-18] (Uniblue Systems Limited) HKU\Christian\...\Run: [swg] => C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2011-10-17] (Google Inc.) HKU\Default\...\RunOnce: [ScrSav] => C:\Program Files (x86)\Packard Bell\Screensaver\run_Packard Bell.exe [154144 2010-07-29] () HKU\Default User\...\RunOnce: [ScrSav] => C:\Program Files (x86)\Packard Bell\Screensaver\run_Packard Bell.exe [154144 2010-07-29] () Startup: C:\Users\Christian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wl1rjjblf.lnk [2014-03-07] ShortcutTarget: wl1rjjblf.lnk -> C:\ProgramData\flbjjr1lw.cpp () ==================== Dienste (Nicht auf der Ausnahmeliste) ======================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) S2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440400 2014-03-05] (Avira Operations GmbH & Co. KG) S2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440400 2014-03-05] (Avira Operations GmbH & Co. KG) S2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [1017424 2014-03-05] (Avira Operations GmbH & Co. KG) S2 ForceWare Intelligent Application Manager (IAM); C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe [626208 2009-08-10] () S3 GameConsoleService; C:\Program Files (x86)\Packard Bell Games\Packard Bell Game Console\GameConsoleService.exe [246520 2010-04-03] (WildTangent, Inc.) S2 GREGService; C:\Program Files (x86)\Packard Bell\Registration\GREGsvc.exe [23584 2010-01-08] (Acer Incorporated) S2 NIS; C:\Program Files (x86)\Norton Internet Security\Engine\19.9.1.14\ccSvcHst.exe [138272 2012-06-15] (Symantec Corporation) S2 NOBU; C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe [2804568 2010-06-01] (Symantec Corporation) S2 nSvcIp; C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe [206880 2009-08-10] () S2 SearchAnonymizer; C:\Users\Christian\AppData\Roaming\OCS\SM\SearchAnonymizerHelper.exe [40960 2011-01-08] () S2 SProtection; C:\Program Files (x86)\Common Files\Umbrella\umbrella.exe [2905408 2014-02-05] (Iminent) S2 Updater Service; C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe [243232 2010-01-28] (Acer Group) S2 vsmon; C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe [2447888 2013-03-05] (Check Point Software Technologies LTD) S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2009-07-13] (Microsoft Corporation) S3 Winmgmt; C:\ProgramData\wl1rjjblf.zvv [332540 2014-03-07] (Microsoft Corporation) ===================== Treiber (Nicht auf der Ausnahmeliste) ========================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-19] (Avira Operations GmbH & Co. KG) S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-19] (Avira Operations GmbH & Co. KG) S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-11-27] (Avira Operations GmbH & Co. KG) S1 BHDrvx64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.0.0.128\Definitions\BASHDefs\20111014.001\BHDrvx64.sys [1155704 2011-10-14] (Symantec Corporation) S1 ccSet_NIS; C:\Windows\system32\drivers\NISx64\1309010.00E\ccSetx64.sys [167072 2012-06-06] (Symantec Corporation) S3 ebdrv; C:\Windows\system32\DRIVERS\evbda.sys [3286016 2009-06-10] (Broadcom Corporation) S1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [481912 2011-10-13] (Symantec Corporation) S3 EraserUtilRebootDrv; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [136824 2011-10-12] (Symantec Corporation) S1 IDSVia64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.0.0.128\Definitions\IPSDefs\20111019.030\IDSvia64.sys [488568 2011-10-10] (Symantec Corporation) S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.0.0.128\Definitions\VirusDefs\20111019.033\ENG64.SYS [117880 2011-10-20] (Symantec Corporation) S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.0.0.128\Definitions\VirusDefs\20111019.033\EX64.SYS [2048632 2011-10-20] (Symantec Corporation) S3 SRTSP; C:\Windows\System32\Drivers\NISx64\1309010.00E\SRTSP64.SYS [737952 2012-07-05] (Symantec Corporation) S1 SRTSPX; C:\Windows\system32\drivers\NISx64\1309010.00E\SRTSPX64.SYS [37536 2012-07-05] (Symantec Corporation) S0 SymDS; C:\Windows\System32\drivers\NISx64\1309010.00E\SYMDS64.SYS [451192 2011-05-16] (Symantec Corporation) S0 SymEFA; C:\Windows\System32\drivers\NISx64\1309010.00E\SYMEFA64.SYS [1129120 2012-05-21] (Symantec Corporation) S3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT64x86.SYS [175736 2012-03-28] (Symantec Corporation) S1 SymIRON; C:\Windows\system32\drivers\NISx64\1309010.00E\Ironx64.SYS [190072 2012-04-17] (Symantec Corporation) S1 SymNetS; C:\Windows\System32\Drivers\NISx64\1309010.00E\SYMNETS.SYS [405624 2012-04-17] (Symantec Corporation) S1 Vsdatant; C:\Windows\System32\DRIVERS\vsdatant.sys [450136 2012-12-13] (Check Point Software Technologies LTD) ==================== NetSvcs (Nicht auf der Ausnahmeliste) =================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) ==================== Ein Monat: Erstellte Dateien und Ordner ======== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.) 2015-09-02 18:31 - 2015-09-02 18:31 - 00000000 ____D C:\FRST ==================== Ein Monat: Geänderte Dateien und Ordner ======== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.) 2015-09-02 07:08 - 2013-07-14 12:11 - 00001106 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore1ce80ce506e0180.job 2015-09-02 07:08 - 2011-10-12 09:58 - 00000352 _____ C:\Windows\Tasks\RegistryBooster.job 2015-09-02 07:08 - 2009-07-13 21:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT 2015-09-02 07:07 - 2009-07-13 20:51 - 00138918 _____ C:\Windows\setupact.log Dateien, die verschoben oder gelöscht werden sollten: ==================== C:\ProgramData\wl1rjjblf.fee C:\ProgramData\wl1rjjblf.zvv Einige Dateien in TEMP: ==================== C:\Users\Christian\AppData\Local\Temp\0a50e25a83046228c11dcaa7eeed09bb.exe C:\Users\Christian\AppData\Local\Temp\avgnt.exe C:\Users\Christian\AppData\Local\Temp\binkw32.dll C:\Users\Christian\AppData\Local\Temp\d2l_Install.exe C:\Users\Christian\AppData\Local\Temp\IminentSetup.exe C:\Users\Christian\AppData\Local\Temp\MSN8882.exe C:\Users\Christian\AppData\Local\Temp\setup.exe C:\Users\Christian\AppData\Local\Temp\zafwSetup_110_000_070.exe C:\Users\Christian\AppData\Local\Temp\_unps.exe ==================== Known DLLs (Nicht auf der Ausnahmeliste) ========================= ==================== Bamital & volsnap ================= (Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.) C:\Windows\System32\winlogon.exe => MD5 ist legitim C:\Windows\System32\wininit.exe => MD5 ist legitim C:\Windows\SysWOW64\wininit.exe => MD5 ist legitim C:\Windows\explorer.exe => MD5 ist legitim C:\Windows\SysWOW64\explorer.exe => MD5 ist legitim C:\Windows\System32\svchost.exe => MD5 ist legitim C:\Windows\SysWOW64\svchost.exe => MD5 ist legitim C:\Windows\System32\services.exe => MD5 ist legitim C:\Windows\System32\User32.dll => MD5 ist legitim C:\Windows\SysWOW64\User32.dll => MD5 ist legitim C:\Windows\System32\userinit.exe => MD5 ist legitim C:\Windows\SysWOW64\userinit.exe => MD5 ist legitim C:\Windows\System32\rpcss.dll => MD5 ist legitim C:\Windows\System32\dnsapi.dll => MD5 ist legitim C:\Windows\SysWOW64\dnsapi.dll => MD5 ist legitim C:\Windows\System32\Drivers\volsnap.sys => MD5 ist legitim ==================== Wiederherstellungspunkte ========================= Wiederherstellungspunkt Datum: 2014-02-18 06:46:31 Wiederherstellungspunkt Datum: 2014-02-19 23:38:47 Wiederherstellungspunkt Datum: 2014-02-24 22:51:06 Wiederherstellungspunkt Datum: 2014-02-24 22:54:37 Wiederherstellungspunkt Datum: 2014-02-25 07:06:33 Wiederherstellungspunkt Datum: 2014-02-25 22:36:52 Wiederherstellungspunkt Datum: 2014-02-25 22:50:05 Wiederherstellungspunkt Datum: 2014-02-27 15:25:55 Wiederherstellungspunkt Datum: 2014-02-27 16:59:38 Wiederherstellungspunkt Datum: 2014-03-03 05:46:24 Wiederherstellungspunkt Datum: 2014-03-03 05:51:49 Wiederherstellungspunkt Datum: 2014-03-03 06:20:17 Wiederherstellungspunkt Datum: 2014-03-03 11:34:54 Wiederherstellungspunkt Datum: 2014-03-05 11:52:54 ==================== Speicherinformationen =========================== Prozentuale Nutzung des RAM: 17% Installierter physikalischer RAM: 4095.37 MB Verfügbarer physikalischer RAM: 3363.09 MB Summe virtueller Speicher: 4093.52 MB Verfügbarer virtueller Speicher: 3342.79 MB ==================== Laufwerke ================================ Drive c: (Packard Bell) (Fixed) (Total:457.95 GB) (Free:379.92 GB) NTFS Drive e: (DATA) (Fixed) (Total:458.46 GB) (Free:252.92 GB) NTFS Drive f: (PQSERVICE) (Fixed) (Total:15 GB) (Free:3.61 GB) NTFS Drive l: (USB DISK) (Removable) (Total:7.2 GB) (Free:7.2 GB) FAT32 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS Drive y: (SYSTEM RESERVED) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System mit Startkomponenten (eingeholt von lesen Laufwerk)] ==================== MBR & Partitionstabelle ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: 28C1058D) Partition 1: (Not Active) - (Size=15 GB) - (Type=27) Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=458 GB) - (Type=07 NTFS) Partition 4: (Not Active) - (Size=458.5 GB) - (Type=07 NTFS) ======================================================== Disk: 5 (Size: 7.2 GB) (Disk ID: 2C6B7369) No partition Table on disk 5. LastRegBack: 2014-03-05 09:04 ==================== Ende von FRST.txt ============================ |
Themen zu Windows7 Trojana abgesicherter Modus nicht möglich |
adobe, antivir, avg, avira, computer, defender, desktop, dnsapi.dll, explorer, google, home, interpol, realtek, registry, scan, security, services.exe, software, starten, svchost.exe, symantec, system, temp, trojana, trojaner, usb, windows, öffnet |