Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows recovery - leerer Desktop trotz unhide & Loganalyse

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.04.2011, 16:56   #1
problemkind2
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



Hallo liebe Gemeinde,


ich brauche eure Hilfe. Ich habe mir einen "Windows Recovery" Trojaner eingefangen, und möchte ihn vollständig beseitigen. Ich wäre euch sehr dankbar, wenn mich jemand von euch durch den weiteren Prozess leiten könnte.

Symptomatik: Plötzlicher Systemcrash (schwarzer Bildschirm), danach versperrte mir das FakeRecovery-Programm die Nutzung des Betriebssystems, es startete sich jeweils automatisch.

Bisher unternommen:

1. Im abgesicherten Modus hochgefahren, und dort händisch in der Registry den entsprechenden Run-Eintrag entfernt, und die Dateien des Trojaners gelöscht, auf die dieser Eintrag verwies. Ausserdem habe ich die folgenden Schlüssel entfernt, gemäß einer Anleitung im Internet.

Code:
ATTFilter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "[random].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "[random]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" = '{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments "SaveZoneInformation" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures" = 'no'
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use FormSuggest" = 'yes'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnonBadCertRecving" = '0'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = '1'
         
Nach einem Reboot (nicht mehr "abgesichert", also ganz normal) lief das System wieder ohne daß die Fake-Software kam.

2. Ich habe Antimalware installiert, aktualisiert, und ausgeführt. Es wurden infizierte Dateien gefunden, ich habe sie entfernen lassen, und Antimalware nochmals ausgeführt, es wurden daraufhin keine Infektionen mehr gefunden.

Die Logs hab ich angehängt.


Was soll ich als nächstes tun? "Unhide" hab ich ausgeführt, was aber leider nur das Startmenü wieder-bevölkert hat. Der Desktop ist immernoch leer, obwohl das Desktop-Verzeichnis alle Icons enthält.


Vielen Dank schonmal im voraus!
Problemkind2

Hallo nochmal,


das Zusatzproblemchen meines Beitrages hat sich folgendermaßen gelöst: Offenbar hatte die Version "Windows Recovery", die ich mir eingehandelt habe, bei mir folgenden Schlüssel gesetzt:

Code:
ATTFilter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
         
Nach dessen Entfernung war der Desktop mitsamt Symbolen wieder da.


Viele Grüße,
Problemkind2

Alt 06.05.2011, 12:01   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



Die Scans sind schon etwas her. Bitte Malwarebytes updaten und einen neuen Vollscan machen.
__________________

__________________

Alt 06.05.2011, 13:25   #3
problemkind2
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



Danke für die Hilfe. Anbei die neuen Logs, es wurde wieder was gefunden, ich habe es entfernen lassen, und den Rechner danach neu gestartet, wie es antimalwarebytes empfohlen hat.
__________________

Alt 06.05.2011, 13:58   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Alt 06.05.2011, 14:35   #5
problemkind2
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



anbei die OTL.txt des Scans.


Alt 06.05.2011, 17:58   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [CorelDRAW Graphics Suite 11b]  File not found
O4 - HKLM..\Run: [crlregistrationf]  File not found
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
--> Windows recovery - leerer Desktop trotz unhide & Loganalyse

Alt 07.05.2011, 08:29   #7
problemkind2
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



Hier das Log des OTL Fixes.


Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\CorelDRAW Graphics Suite 11b deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\crlregistrationf deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 1153124 bytes
->Temporary Internet Files folder emptied: 159714 bytes
 
User: Leo
->Temp folder emptied: 1212451 bytes
->Temporary Internet Files folder emptied: 24507232 bytes
->Java cache emptied: 355273 bytes
->Opera cache emptied: 20570861 bytes
->Flash cache emptied: 95778 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3514887 bytes
Session Manager Temp folder emptied: 587795 bytes
Session Manager Tmp folder emptied: 0 bytes
RecycleBin emptied: 133869691 bytes
 
Total Files Cleaned = 177,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 05072011_092340

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

Alt 07.05.2011, 15:13   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Alt 07.05.2011, 17:44   #9
problemkind2
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



Hier das Log des TDSS tools. Die Dateien hatte ich durch unhide schon ganz am Anfang wieder sichtbar gemacht.


Code:
ATTFilter
2011/05/07 18:42:20.0437 0764	TDSS rootkit removing tool 2.5.0.0 May  1 2011 14:20:16
2011/05/07 18:42:20.0468 0764	================================================================================
2011/05/07 18:42:20.0468 0764	SystemInfo:
2011/05/07 18:42:20.0468 0764	
2011/05/07 18:42:20.0468 0764	OS Version: 5.1.2600 ServicePack: 3.0
2011/05/07 18:42:20.0468 0764	Product type: Workstation
2011/05/07 18:42:20.0468 0764	ComputerName: WINZLING
2011/05/07 18:42:20.0468 0764	UserName: Leo
2011/05/07 18:42:20.0468 0764	Windows directory: C:\WINDOWS
2011/05/07 18:42:20.0468 0764	System windows directory: C:\WINDOWS
2011/05/07 18:42:20.0468 0764	Processor architecture: Intel x86
2011/05/07 18:42:20.0468 0764	Number of processors: 2
2011/05/07 18:42:20.0468 0764	Page size: 0x1000
2011/05/07 18:42:20.0468 0764	Boot type: Normal boot
2011/05/07 18:42:20.0468 0764	================================================================================
2011/05/07 18:42:20.0781 0764	Initialize success
2011/05/07 18:42:22.0671 3732	================================================================================
2011/05/07 18:42:22.0671 3732	Scan started
2011/05/07 18:42:22.0671 3732	Mode: Manual; 
2011/05/07 18:42:22.0671 3732	================================================================================
2011/05/07 18:42:25.0437 3732	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/05/07 18:42:25.0468 3732	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
2011/05/07 18:42:25.0609 3732	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/05/07 18:42:25.0656 3732	AF15BDA         (3cd15ebaa1d68bc18ce14a26683bc1ec) C:\WINDOWS\system32\DRIVERS\AF15BDA.sys
2011/05/07 18:42:25.0687 3732	Afc             (fe3ea6e9afc1a78e6edca121e006afb7) C:\WINDOWS\system32\drivers\Afc.sys
2011/05/07 18:42:25.0718 3732	AFD             (e3049b90fe06f3f740b7cfda44995e2c) C:\WINDOWS\System32\drivers\afd.sys
2011/05/07 18:42:26.0046 3732	AsusACPI        (784fcb197f9a50a419d8ce4980655ae4) C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys
2011/05/07 18:42:26.0078 3732	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/05/07 18:42:26.0125 3732	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/05/07 18:42:26.0171 3732	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/05/07 18:42:26.0218 3732	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/05/07 18:42:26.0250 3732	BCMIDI          (8c722ce44b1c1fe8e1a5802374e544de) C:\WINDOWS\system32\Drivers\bumidi.sys
2011/05/07 18:42:26.0359 3732	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/05/07 18:42:26.0406 3732	BEHRINGER_2902  (4ee79dc79d821500d5174047a9af708c) C:\WINDOWS\system32\Drivers\BUSB2902.sys
2011/05/07 18:42:26.0468 3732	btaudio         (4b43dfe1c1fbb305a1dc5504ef9bb34e) C:\WINDOWS\system32\drivers\btaudio.sys
2011/05/07 18:42:26.0578 3732	BTDriver        (2f9f111d31aa3fbbe5781d829a4524e6) C:\WINDOWS\system32\DRIVERS\btport.sys
2011/05/07 18:42:26.0656 3732	BTKRNL          (b4355289cb2ebcc91ae995f916d271b7) C:\WINDOWS\system32\DRIVERS\btkrnl.sys
2011/05/07 18:42:26.0718 3732	BTWDNDIS        (485020a1e1fc5c51a800ca69c618d881) C:\WINDOWS\system32\DRIVERS\btwdndis.sys
2011/05/07 18:42:26.0765 3732	btwhid          (949eca9c56f657c06d3166d51f3226c7) C:\WINDOWS\system32\DRIVERS\btwhid.sys
2011/05/07 18:42:26.0812 3732	btwmodem        (5922bae0cd84924b9cd7e6bb515ee070) C:\WINDOWS\system32\DRIVERS\btwmodem.sys
2011/05/07 18:42:26.0859 3732	BTWUSB          (fac7e5965162c70d184dfe92b4bcbd1b) C:\WINDOWS\system32\Drivers\btwusb.sys
2011/05/07 18:42:26.0906 3732	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/05/07 18:42:27.0015 3732	CCDECODE        (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/05/07 18:42:27.0296 3732	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/05/07 18:42:27.0328 3732	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/05/07 18:42:27.0359 3732	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\drivers\Cdrom.sys
2011/05/07 18:42:27.0437 3732	CmBatt          (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
2011/05/07 18:42:27.0593 3732	Compbatt        (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
2011/05/07 18:42:27.0734 3732	CVirtA          (b5ecadf7708960f1818c7fa015f4c239) C:\WINDOWS\system32\DRIVERS\CVirtA.sys
2011/05/07 18:42:27.0796 3732	CVPNDRVA        (57310c245810b26e378de9e6b22db598) C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
2011/05/07 18:42:27.0890 3732	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/05/07 18:42:27.0953 3732	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/05/07 18:42:28.0000 3732	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/05/07 18:42:28.0031 3732	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/05/07 18:42:28.0062 3732	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/05/07 18:42:28.0109 3732	DNE             (86d52c32a308f84bbc626bff7c1fb710) C:\WINDOWS\system32\DRIVERS\dne2000.sys
2011/05/07 18:42:28.0171 3732	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/05/07 18:42:28.0250 3732	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/05/07 18:42:28.0281 3732	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/05/07 18:42:28.0312 3732	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/05/07 18:42:28.0343 3732	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/05/07 18:42:28.0390 3732	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2011/05/07 18:42:28.0453 3732	FPAV_RTP        (ba50532419b00de2e99b8913a5abf3f6) C:\WINDOWS\system32\DRIVERS\FStopW.sys
2011/05/07 18:42:28.0484 3732	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/05/07 18:42:28.0593 3732	FTDIBUS         (b7aa8283ec551d3a3b924e520e0621a7) C:\WINDOWS\system32\drivers\ftdibus.sys
2011/05/07 18:42:28.0640 3732	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/05/07 18:42:28.0671 3732	FTSER2K         (596d31583ce332b5514520d74837f434) C:\WINDOWS\system32\drivers\ftser2k.sys
2011/05/07 18:42:28.0703 3732	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/05/07 18:42:28.0750 3732	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/05/07 18:42:28.0796 3732	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/05/07 18:42:28.0890 3732	HTTP            (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/05/07 18:42:29.0000 3732	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/05/07 18:42:29.0281 3732	ialm            (0f68e2ec713f132ffb19e45415b09679) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
2011/05/07 18:42:29.0375 3732	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\drivers\Imapi.sys
2011/05/07 18:42:29.0687 3732	IntcAzAudAddService (c73a4a48fbb3d00c7dbc6fe4f5e3675f) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/05/07 18:42:29.0828 3732	intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/05/07 18:42:29.0859 3732	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2011/05/07 18:42:29.0890 3732	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/05/07 18:42:29.0921 3732	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/05/07 18:42:29.0968 3732	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/05/07 18:42:30.0000 3732	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/05/07 18:42:30.0031 3732	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/05/07 18:42:30.0078 3732	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/05/07 18:42:30.0125 3732	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/05/07 18:42:30.0156 3732	kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/05/07 18:42:30.0187 3732	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/05/07 18:42:30.0234 3732	KSecDD          (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/05/07 18:42:30.0265 3732	Ktp             (9ea9d6ba04629cb14260f46ff8bbd65a) C:\WINDOWS\system32\DRIVERS\ETD.sys
2011/05/07 18:42:30.0296 3732	L1e             (303627228dd739d98289679901a38c8f) C:\WINDOWS\system32\DRIVERS\l1e51x86.sys
2011/05/07 18:42:30.0343 3732	LBeepKE         (ca63fe81705ad660e482bef210bf2c73) C:\WINDOWS\system32\Drivers\LBeepKE.sys
2011/05/07 18:42:30.0421 3732	LHidFilt        (b68309f25c5787385da842eb5b496958) C:\WINDOWS\system32\DRIVERS\LHidFilt.Sys
2011/05/07 18:42:30.0468 3732	LMouFilt        (63d3b1d3cd267fcc186a0146b80d453b) C:\WINDOWS\system32\DRIVERS\LMouFilt.Sys
2011/05/07 18:42:30.0578 3732	LUsbFilt        (0c62957912d4df1e4ba9795e6be3ed38) C:\WINDOWS\system32\Drivers\LUsbFilt.Sys
2011/05/07 18:42:30.0625 3732	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/05/07 18:42:30.0671 3732	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/05/07 18:42:30.0703 3732	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/05/07 18:42:30.0750 3732	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/05/07 18:42:30.0781 3732	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/05/07 18:42:30.0812 3732	MPE             (c0f8e0c2c3c0437cf37c6781896dc3ec) C:\WINDOWS\system32\DRIVERS\MPE.sys
2011/05/07 18:42:30.0890 3732	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/05/07 18:42:30.0953 3732	MRxSmb          (68755f0ff16070178b54674fe5b847b0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/05/07 18:42:30.0984 3732	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/05/07 18:42:31.0031 3732	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/05/07 18:42:31.0078 3732	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/05/07 18:42:31.0109 3732	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/05/07 18:42:31.0156 3732	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/05/07 18:42:31.0187 3732	MSTEE           (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/05/07 18:42:31.0234 3732	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/05/07 18:42:31.0281 3732	NABTSFEC        (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/05/07 18:42:31.0343 3732	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/05/07 18:42:31.0437 3732	NdisIP          (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/05/07 18:42:31.0468 3732	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/05/07 18:42:31.0515 3732	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/05/07 18:42:31.0562 3732	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/05/07 18:42:31.0593 3732	NDProxy         (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/05/07 18:42:31.0640 3732	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/05/07 18:42:31.0687 3732	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/05/07 18:42:31.0765 3732	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/05/07 18:42:31.0843 3732	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/05/07 18:42:31.0906 3732	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/05/07 18:42:31.0937 3732	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/05/07 18:42:31.0984 3732	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/05/07 18:42:32.0031 3732	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
2011/05/07 18:42:32.0078 3732	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/05/07 18:42:32.0109 3732	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/05/07 18:42:32.0156 3732	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/05/07 18:42:32.0234 3732	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/05/07 18:42:32.0281 3732	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/05/07 18:42:32.0531 3732	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/05/07 18:42:32.0578 3732	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/05/07 18:42:32.0609 3732	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/05/07 18:42:32.0796 3732	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/05/07 18:42:32.0843 3732	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/05/07 18:42:32.0890 3732	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/05/07 18:42:32.0921 3732	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/05/07 18:42:32.0968 3732	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/05/07 18:42:33.0000 3732	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/05/07 18:42:33.0046 3732	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/05/07 18:42:33.0093 3732	ROOTMODEM       (d8b0b4ade32574b2d9c5cc34dc0dbbe7) C:\WINDOWS\system32\Drivers\RootMdm.sys
2011/05/07 18:42:33.0140 3732	RRamdisk        (3762a37c7ddd4afce6bd75aef790a920) C:\WINDOWS\system32\DRIVERS\rramdisk.sys
2011/05/07 18:42:33.0218 3732	RT80x86         (162d6aee49372b9ce17c418cc5cde7b5) C:\WINDOWS\system32\DRIVERS\RT2860.sys
2011/05/07 18:42:33.0265 3732	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/05/07 18:42:33.0312 3732	Ser2pl          (e42f03d1081c4f60d3db6c38235b1456) C:\WINDOWS\system32\DRIVERS\ser2pl.sys
2011/05/07 18:42:33.0343 3732	Serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/05/07 18:42:33.0390 3732	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
2011/05/07 18:42:33.0421 3732	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/05/07 18:42:33.0500 3732	SLIP            (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/05/07 18:42:33.0562 3732	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/05/07 18:42:33.0609 3732	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/05/07 18:42:33.0656 3732	Srv             (5252605079810904e31c332e241cd59b) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/05/07 18:42:33.0718 3732	streamip        (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/05/07 18:42:33.0750 3732	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/05/07 18:42:33.0781 3732	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/05/07 18:42:33.0937 3732	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/05/07 18:42:34.0000 3732	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/05/07 18:42:34.0031 3732	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/05/07 18:42:34.0078 3732	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/05/07 18:42:34.0109 3732	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/05/07 18:42:34.0203 3732	truecrypt       (db0815523ac07445a2f09dcd2acea8c3) C:\WINDOWS\system32\drivers\truecrypt.sys
2011/05/07 18:42:34.0234 3732	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/05/07 18:42:34.0312 3732	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/05/07 18:42:34.0375 3732	usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
2011/05/07 18:42:34.0406 3732	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/05/07 18:42:34.0437 3732	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/05/07 18:42:34.0468 3732	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/05/07 18:42:34.0578 3732	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/05/07 18:42:34.0609 3732	usbstor         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/05/07 18:42:34.0656 3732	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/05/07 18:42:34.0687 3732	usbvideo        (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
2011/05/07 18:42:34.0718 3732	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/05/07 18:42:34.0796 3732	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/05/07 18:42:34.0828 3732	vsdatant        (27b3dd12a19eec50220df15b64913dda) C:\WINDOWS\system32\vsdatant.sys
2011/05/07 18:42:34.0890 3732	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/05/07 18:42:34.0937 3732	Wdf01000        (d918617b46457b9ac28027722e30f647) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/05/07 18:42:35.0031 3732	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/05/07 18:42:35.0078 3732	WinDriver6      (451f905bc7bff9e1cff2e7ae76196b2c) C:\WINDOWS\system32\drivers\windrvr6.sys
2011/05/07 18:42:35.0187 3732	WSTCODEC        (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/05/07 18:42:35.0515 3732	================================================================================
2011/05/07 18:42:35.0515 3732	Scan finished
2011/05/07 18:42:35.0515 3732	================================================================================
         

Alt 07.05.2011, 17:51   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Alt 07.05.2011, 18:42   #11
problemkind2
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



Hier die log.txt, die sich automatisch geöffnet hat.

Code:
ATTFilter
ComboFix 11-05-06.05 - Leo 07.05.2011  19:23:28.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2039.975 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Leo\Desktop\CoFi.exe
AV: F-PROT Antivirus for Windows *Disabled/Outdated* {3F8BAFFE-D251-4DC6-ACF9-81FDF61FB9C9}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\lsprst7.dll
c:\windows\system32\ssprs.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-07 bis 2011-05-07  ))))))))))))))))))))))))))))))
.
.
2011-05-07 17:03 . 2011-05-07 17:04	--------	d-----w-	d:\programme\CCleaner
2011-05-07 07:23 . 2011-05-07 07:23	--------	d-----w-	C:\_OTL
2011-04-29 09:14 . 2004-07-16 20:42	176128	----a-w-	c:\dokumente und einstellungen\Leo\TaskbarRepairToolPlus!.exe
2011-04-28 13:39 . 2011-04-28 13:39	--------	d-----w-	c:\dokumente und einstellungen\Leo\Anwendungsdaten\Malwarebytes
2011-04-28 13:38 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-28 13:38 . 2011-04-28 13:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-28 13:38 . 2011-04-28 13:38	--------	d-----w-	d:\programme\Malwarebytes' Anti-Malware
2011-04-28 13:38 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-27 08:39 . 2011-04-27 08:39	--------	d-----w-	c:\dokumente und einstellungen\Leo\.gnubg
2011-04-27 08:37 . 2011-04-27 08:39	--------	d-----w-	d:\programme\gnubg
2011-04-17 16:27 . 2011-05-06 12:20	--------	d-----w-	c:\windows\Sun
2011-04-17 16:26 . 2011-04-17 16:26	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2011-04-17 16:25 . 2011-04-17 16:24	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-04-17 16:25 . 2011-04-17 16:24	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-04-17 16:24 . 2011-04-17 16:24	--------	d-----w-	d:\programme\Java
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-07 14:34 . 2008-09-04 22:41	15523560	----a-w-	d:\programme\U1 Setup.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-31 16806912]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"AsusTray"="d:\programme\EeePC\ACPI\AsTray.exe" [2008-07-23 98304]
"AsusACPIServer"="d:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-07-23 479232]
"AsusEPCMonitor"="d:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"ETDWare"="d:\programme\Elantech\ETDCtrl.exe" [2008-08-12 335872]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2008-01-16 72192]
"F-PROT Antivirus Tray application"="d:\programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe" [2009-08-27 1597832]
"EvtMgr6"="d:\programme\Logitech\SetPointP\SetPoint.exe" [2010-06-26 1311312]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
AutoRun OSCleaner.lnk - d:\programme\ASUS\Asus OS Cleaner\AsOSCleaner.exe [2008-9-4 118784]
BTTray.lnk - d:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-7-30 604776]
SuperHybridEngine.exe.lnk - d:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-9-4 303104]
VPN Client.lnk - c:\windows\Installer\{4C271126-C295-4828-A901-5910AE0C258B}\Icon3E5562ED7.ico [2009-6-23 6144]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= "d:\programme\Qualcomm\Eudora\EuShlExt.dll" [2005-08-09 86016]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2010-05-06 09:29	64592	----a-w-	c:\programme\Gemeinsame Dateien\LogiShrd\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FPAVServer]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"d:\\programme\\Skype\\Plugin Manager\\skypePM.exe"=
"d:\\programme\\Opera\\opera.exe"=
"d:\\programme\\Skype\\Phone\\Skype.exe"=
.
R0 FPAV_RTP;FPAV_RTP;c:\windows\system32\drivers\FStopW.sys [06.04.2010 02:09 682840]
R0 RRamdisk;Ramdisk Driver;c:\windows\system32\drivers\rramdisk.sys [06.01.2009 16:20 10368]
R2 FPAVServer;F-PROT Antivirus for Windows system;d:\programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe [27.08.2009 16:26 75424]
R2 LBeepKE;Logitech Beep Suppression Driver;c:\windows\system32\drivers\LBeepKE.sys [02.08.2010 17:44 10448]
S3 BCMIDI;BCMIDI;c:\windows\system32\drivers\bumidi.sys [22.06.2010 20:55 22944]
S3 BEHRINGER_2902;usb-audio.de driver for BEHRINGER USB AUDIO;c:\windows\system32\drivers\BUSB2902.sys [16.04.2009 22:50 340480]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [04.09.2008 23:38 625024]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - klmd25
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~4\Office10\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - d:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - d:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-MsnMsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-07 19:35
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(972)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
.
Zeit der Fertigstellung: 2011-05-07  19:38:06
ComboFix-quarantined-files.txt  2011-05-07 17:38
.
Vor Suchlauf: 1.177.927.680 Bytes frei
Nach Suchlauf: 1.137.205.248 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 79EBEF0BECA0ED5B1242838D4B6D6C36
         

Alt 07.05.2011, 19:24   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Alt 07.05.2011, 20:01   #13
problemkind2
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



Anbei alle drei logfiles im zip.

Alt 07.05.2011, 20:24   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Alt 07.05.2011, 21:43   #15
problemkind2
 
Windows recovery - leerer Desktop trotz unhide & Loganalyse - Standard

Windows recovery - leerer Desktop trotz unhide & Loganalyse



Malwarebytes hat nichts mehr gefunden, SuperAntiSpy das hier gesucht und entfernt:

Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/07/2011 at 10:37 PM

Application Version : 4.52.1000

Core Rules Database Version : 7011
Trace Rules Database Version: 4823

Scan type       : Complete Scan
Total Scan Time : 00:38:38

Memory items scanned      : 486
Memory threats detected   : 0
Registry items scanned    : 6992
Registry threats detected : 0
File items scanned        : 44727
File threats detected     : 1

Trojan.Agent/Gen-FakeAV
	D:\PROGRAMME\WINRAR\DEFAULT.SFX
         

Antwort

Themen zu Windows recovery - leerer Desktop trotz unhide & Loganalyse
antimalware, bildschirm, code, dateien, desktop, disabletaskmgr, download, entfernen, explorer, folge, gelöscht, gen, icons, infizierte, infizierte dateien, internet explorer, leer, leerer desktop, microsoft, nicht mehr, prozess, reboot, recovery, registry, schwarzer bildschirm, software, trojaner, trojaner eingefangen, windows, windows recovery leerer desktop



Ähnliche Themen: Windows recovery - leerer Desktop trotz unhide & Loganalyse


  1. Leerer Desktop, Computer fährt automatisch herunter
    Plagegeister aller Art und deren Bekämpfung - 09.01.2013 (29)
  2. Suisa - leerer Desktop
    Plagegeister aller Art und deren Bekämpfung - 28.08.2012 (3)
  3. Start Windows 7 white Screen dann leerer Desktop abgesichterer Modus geht normal
    Log-Analyse und Auswertung - 08.08.2012 (9)
  4. Suisa-Trojaner: leerer Desktop, leeres Startmenü
    Log-Analyse und Auswertung - 19.06.2012 (22)
  5. Nach Entfernung von S.M.A.R.T. HDD Virus mit unhide.exe noch Problem mit Desktop
    Log-Analyse und Auswertung - 12.04.2012 (3)
  6. Erst Fehlermeldungen und nun keine Daten mehr und leerer Desktop.
    Plagegeister aller Art und deren Bekämpfung - 30.03.2012 (32)
  7. GEMA-Trojaner: zwar wohl entfernt (c't Desinfect), aber desktop.ini fehlerhaft: leerer Desktop...
    Plagegeister aller Art und deren Bekämpfung - 14.01.2012 (2)
  8. immer leerer Desktop nach dem 'Gema-Virus'
    Log-Analyse und Auswertung - 08.12.2011 (28)
  9. Windows Recovery enfernt? Desktop noch schwarz und icons weg bzw. transparent
    Log-Analyse und Auswertung - 23.06.2011 (21)
  10. Vista: Nach Entfernung des Trojaners Windows Recovery leerer Desktop
    Plagegeister aller Art und deren Bekämpfung - 14.06.2011 (1)
  11. Windows XP recovery, Festplatte defekt, schwarzer Desktop
    Plagegeister aller Art und deren Bekämpfung - 12.06.2011 (2)
  12. Windows 7 Recovery vollständig entfernt? Desktop wiederherstellen?
    Log-Analyse und Auswertung - 29.05.2011 (27)
  13. windows recovery desktop unsichtbar
    Plagegeister aller Art und deren Bekämpfung - 18.05.2011 (33)
  14. Windows Recovery & Desktop Rettung
    Plagegeister aller Art und deren Bekämpfung - 17.05.2011 (4)
  15. Trotz Mcaffe Virenscanner - Windows Recovery Wurm + andere Trojaner
    Antiviren-, Firewall- und andere Schutzprogramme - 06.05.2011 (2)
  16. Leerer Desktop nach Entfernung von Windows Recovery durch Malewarebytes
    Log-Analyse und Auswertung - 01.05.2011 (7)
  17. Leerer Desktop beim Hochfahren
    Alles rund um Windows - 30.07.2008 (9)

Zum Thema Windows recovery - leerer Desktop trotz unhide & Loganalyse - Hallo liebe Gemeinde, ich brauche eure Hilfe. Ich habe mir einen "Windows Recovery" Trojaner eingefangen, und möchte ihn vollständig beseitigen. Ich wäre euch sehr dankbar, wenn mich jemand von euch - Windows recovery - leerer Desktop trotz unhide & Loganalyse...
Archiv
Du betrachtest: Windows recovery - leerer Desktop trotz unhide & Loganalyse auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.