Trojaner-Board - Weiser Bildschirm nach Anmeldung bei Windows

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Weiser Bildschirm nach Anmeldung bei Windows (https://www.trojaner-board.de/134759-weiser-bildschirm-anmeldung-windows.html)

Weiser Bildschirm nach Anmeldung bei Windows

Hallo,
Ich habe ein Problem mitreden Start meines Computers bzw Windows. Sobald ich mich mit meinem Passwort angemeldet habe , erscheint einfach ein Weiser Bildschirm.
Ich kann nicht auf den Taskmanager zugreifen und komme außerdem nicht in den abgesicherten Modus. Es hat starke Ähnlichkeit mit dem Bundespolizei Virus, allerdings habe ich einen einfachen weisen Bildschirm ohne eine Information.

:hallo:

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Welches Betriebsystem verwendest du (XP, Vista, 7) ?
32 oder 64 Bit?

Ok, dann kanns ja losgehen. :)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einem USB Stick:
Farbar Recovery Scan Tool 32-Bit-Version
Farbar Recovery Scan Tool 64-Bit-Version

Scanne jetzt nach der bebilderten Anleitung.

- oder verwende die folgende -

Kurzanleitung:

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Über den Boot Manager
Starte den Rechner neu auf.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD
Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu auf und starte von der CD

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !!

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung
Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 10-05-2013 01
Ran by SYSTEM on 10-05-2013 23:04:56
Running from K:\
Windows 7 Home Premium (X64) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Recovery
The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\runonceex: [Flags] 8 [x]
HKLM-x32\...\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [249064 2010-10-29] (Sun Microsystems, Inc.)
HKU\Andreas\...\RunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10o_Plugin.exe -update plugin [235168 2011-04-04] (Adobe Systems, Inc.)

==================== Services (Whitelisted) =================

==================== Drivers (Whitelisted) ====================

==================== NetSvcs (Whitelisted) ===================

==================== One Month Created Files and Folders ========

2013-05-10 23:04 - 2013-05-10 23:04 - 00000000 ____D C:\FRST

==================== One Month Modified Files and Folders =======

2013-05-10 23:04 - 2013-05-10 23:04 - 00000000 ____D C:\FRST

==================== Known DLLs (Whitelisted) ================

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

==================== Memory info ===========================

Percentage of memory in use: 11%
Total physical RAM: 6135.17 MB
Available physical RAM: 5427.63 MB
Total Pagefile: 6133.32 MB
Available Pagefile: 5423.28 MB
Total Virtual: 8192 MB
Available Virtual: 8191.87 MB

==================== Drives ================================

Drive c: (ACER) (Fixed) (Total:457.96 GB) (Free:21.68 GB) NTFS (Disk=0 Partition=2) ==>[Drive with boot components (obtained from BCD)]
Drive d: (DATA) (Fixed) (Total:457.93 GB) (Free:41.5 GB) NTFS (Disk=0 Partition=3)
Drive e: (PQSERVICE) (Fixed) (Total:15.63 GB) (Free:0.68 GB) NTFS (Disk=0 Partition=1)
Drive g: (GRMCULXFREO_DE_DVD) (CDROM) (Total:3.03 GB) (Free:0 GB) CDFS
Drive k: () (Removable) (Total:0.94 GB) (Free:0.94 GB) FAT (Disk=5 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 932 GB) (Disk ID: 8E2CCD45)
Partition 1: (Not Active) - (Size=16 GB) - (Type=27)
Partition 2: (Active) - (Size=458 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=458 GB) - (Type=07 NTFS)

========================================================
Disk: 5 (Size: 961 MB) (Disk ID: 00000000)
Partition 1: (Not Active) - (Size=961 MB) - (Type=06)

Last Boot: 2011-04-15 16:43

==================== End Of Log ============================

Servus,

ok, du hast FRST aufgeführt, aber wir haben nicht den Inhalt, den ich brauche.

Hast du ein Dualbootsystem, d. h. verwendest du neben Windows 7 (64 bit) noch ein weiteres Betriebsystem wie z. B. eine andere Windows Version oder Linux?

Hat dich FRST gefragt, welches Betriebssystem du scannen willst?

Wie heißt der Benutzername, mit dem du dich unter Windows 7 einloggst?

Gude,
Ich habe damals von Windows Vista auf 7 geupdatet. Außerdem habe ich ein mal windows 7 neu installiert was die zwei Betriebssysteme erklären sollte.
Ich wurden nicht nach der Auswahl meines Betriebs Systemes gefragt.
Mein Nutzer bzw anmelde Name lautet : Andy
MfG

Servus,

ok, wir versuchen jetzt mal einen Fix mit FRST, evtl. entsperrt das deinen Rechner wieder:

Drücke auf dem sauberen Rechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster und drücke Enter.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

start

C:\Users\Andy\AppData\Roaming\skype.ini

C:\Users\Andy\AppData\Roaming\skype.dat

end

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen infizierten Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Gude,

also ich habe gerade gesehen das Ich doch zwichen zwei Systemen auswählen kann.

Eines habe ich bereits gepostet, es war auf der C-Platte drauf.
Das zweite System ist auf der D-Platte und Ich vermutet das dies das infizierte ist.
Trotz alle dem habe ich den Fix auf C ausgeführt aber auch sofort einen Scan auf D.
Also hier der Fix auf C wie besprochen

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 10-05-2013 01

Ran by SYSTEM at 2013-05-13 15:30:08 Run:1

Running from K:\

Boot Mode: Recovery

==============================================
 

C:\Users\Andy\AppData\Roaming\skype.ini => Moved successfully.

C:\Users\Andy\AppData\Roaming\skype.dat => Moved successfully.
 

==== End of Fixlog ====

und hier der Scan auf D

Code:

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 10-05-2013 01

Ran by SYSTEM on 13-05-2013 15:27:30

Running from K:\

Windows 7 Home Premium (X64) OS Language: German Standard

Internet Explorer Version 9

Boot Mode: Recovery

The current controlset is ControlSet001
 ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.
 

==================== Registry (Whitelisted) ==================
 

HKLM\...\Run: [OEM Upgrade DVD] "D:\OEM\Upgrade Kit\DVDMainStart.Launcher.exe" [410968 2009-10-19] (Acer Inc.)

HKLM\...\Run: [Launch LCore] D:\Program Files\Logitech Gaming Software\LCore.exe /minimized [5889816 2011-12-07] (Logitech Inc.)

HKLM\...\Winlogon: [Userinit] D:\Windows\system32\userinit.exe,D:\Users\Andy\AppData\Roaming\Explorer\explorer.exe

HKLM-x32\...\Run: [avgnt] "D:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min [281768 2011-03-04] (Avira GmbH)

HKLM-x32\...\Run: [StartCCC] "D:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [641704 2012-11-16] (Advanced Micro Devices, Inc.)

HKU\Andy\...\Policies\system: [EnableLUA] 0

HKU\Andy\...\Winlogon: [Shell] explorer.exe,D:\Users\Andy\AppData\Roaming\skype.dat [58880 2011-11-17] () <==== ATTENTION 

HKU\Default\...\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe [97280 2009-07-14] (Microsoft Corporation)

IMEO\hamachi-2-ui.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2011\TUAutoReactivator64.exe"
 

==================== Services (Whitelisted) =================
 

S3 AdobeFlashPlayerUpdateSvc; D:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [x]

S2 Akamai; d:\program files (x86)\common files\akamai/netsession_win_ca0e279.dll [x]

S2 AntiVirSchedulerService; "D:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [x]

S2 AntiVirService; "D:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [x]

S2 Apple Mobile Device; "D:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe" [x]

S2 clr_optimization_v4.0.30319_32; D:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [x]

S2 clr_optimization_v4.0.30319_64; D:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]

S4 Hamachi2Svc; "D:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe" -s [x]

S2 HPSLPSVC; D:\Program Files (x86)\HP\Digital Imaging\bin\HPSLPSVC64.DLL [x]

S4 ICQ Service; D:\Program Files (x86)\ICQ6Toolbar\ICQ Service.exe [x]

S3 IDriverT; "D:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe" [x]

S3 iPod Service; "D:\Program Files\iPod\bin\iPodService.exe" [x]

S3 MozillaMaintenance; D:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [x]

S2 Net Driver HPZ12; D:\Windows\system32\HPZinw12.dll [x]

S4 NetMsmqActivator; "D:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe" -NetMsmqActivator [x]

S4 NetPipeActivator; D:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe [x]

S4 NetTcpActivator; D:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe [x]

S4 NetTcpPortSharing; D:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe [x]

S3 npggsvc; D:\Windows\system32\GameMon.des -service [x]

S2 Pml Driver HPZ12; D:\Windows\system32\HPZipm12.dll [x]

S2 PnkBstrA; D:\Windows\system32\PnkBstrA.exe [x]

S3 Sony PC Companion; "D:\Program Files (x86)\Sony\Sony PC Companion\PCCService.exe" [x]

S3 Steam Client Service; D:\Program Files (x86)\Common Files\Steam\SteamService.exe /RunAsService [x]

S2 TuneUp.UtilitiesSvc; "D:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesService64.exe" [x]

S2 wlidsvc; "D:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE" [x]

S2 WSWNDA3100; D:\Program Files (x86)\NETGEAR\WNDA3100v2\WifiSvc.exe [x]
 

==================== Drivers (Whitelisted) ====================
 

S2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [314016 2011-05-25] ()

S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [88288 2011-06-30] (Avira GmbH)

S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [123784 2011-06-30] (Avira GmbH)

S1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [254528 2011-08-18] (DT Soft Ltd)

S3 ElbyCDFL; C:\Windows\System32\Drivers\ElbyCDFL.sys [40648 2007-02-16] (SlySoft, Inc.)

S3 libusb0; C:\Windows\System32\DRIVERS\libusb0.sys [44480 2011-05-17] (hxxp://libusb-win32.sourceforge.net)

S2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [43680 2011-05-25] ()

S3 s0017bus; C:\Windows\System32\DRIVERS\s0017bus.sys [113704 2008-10-21] (MCCI Corporation)

S3 s0017mdfl; C:\Windows\System32\DRIVERS\s0017mdfl.sys [19496 2008-10-21] (MCCI Corporation)

S3 s0017mdm; C:\Windows\System32\DRIVERS\s0017mdm.sys [152616 2008-10-21] (MCCI Corporation)

S3 s0017mgmt; C:\Windows\System32\DRIVERS\s0017mgmt.sys [133160 2008-10-21] (MCCI Corporation)

S3 s0017nd5; C:\Windows\System32\DRIVERS\s0017nd5.sys [34856 2008-10-21] (MCCI Corporation)

S3 s0017obex; C:\Windows\System32\DRIVERS\s0017obex.sys [128552 2008-10-21] (MCCI Corporation)

S3 s0017unic; C:\Windows\System32\DRIVERS\s0017unic.sys [145960 2008-10-21] (MCCI Corporation)

S3 dump_wmimmc; \??\c:\windows.old.000\program files (x86)\steam\steamapps\common\ava\Binaries\GameGuard\dump_wmimmc.sys [x]

S3 EagleX64; \??\D:\Windows\system32\drivers\EagleX64.sys [x]

S1 ElbyCDIO; System32\Drivers\ElbyCDIO.sys [x]

S3 NPF; system32\DRIVERS\npf.sys [x]

S3 NPPTNT2; \??\D:\Windows\system32\npptNT2.sys [x]

S3 TuneUpUtilitiesDrv; \??\D:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesDriver64.sys [x]

S3 X6va007; \??\D:\Users\Andy\AppData\Local\Temp\0073F51.tmp [x]
 

==================== NetSvcs (Whitelisted) ===================
 
 

==================== One Month Created Files and Folders ========
 

2013-05-13 15:12 - 2013-05-13 15:12 - 00000000 ____D C:\FRST

2013-05-10 14:33 - 2013-05-12 11:34 - 00000004 ____A C:\Users\Andy\AppData\Roaming\skype.ini

2013-04-25 11:40 - 2013-04-25 12:16 - 112133364 ____A C:\Users\Andy\Downloads\0904 Umse - Wachstum [2013].rar

2013-04-25 09:32 - 2013-04-12 15:45 - 01656680 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ntfs.sys

2013-04-21 19:55 - 2013-04-21 19:55 - 00000427 ____A C:\Users\Public\Desktop\Soulstorm.lnk

2013-04-16 14:26 - 2013-04-16 21:57 - 00011804 ____A C:\Users\Andy\Desktop\Lidl.odt
 

==================== One Month Modified Files and Folders =======
 

2013-05-13 15:12 - 2013-05-13 15:12 - 00000000 ____D C:\FRST

2013-05-13 14:05 - 2009-07-14 06:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT

2013-05-13 14:05 - 2009-07-14 05:51 - 00102684 ____A C:\Windows\setupact.log

2013-05-12 11:34 - 2013-05-10 14:33 - 00000004 ____A C:\Users\Andy\AppData\Roaming\skype.ini

2013-05-12 11:34 - 2012-04-12 11:24 - 00001134 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1908369367-3690954649-3213997060-1001UA.job

2013-05-12 11:34 - 2011-04-25 17:21 - 01578249 ____A C:\Windows\WindowsUpdate.log

2013-05-12 11:33 - 2011-04-25 17:35 - 00074640 ____A C:\Users\Andy\UpgKit.log

2013-05-12 11:27 - 2009-07-14 05:45 - 00014608 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

2013-05-12 11:27 - 2009-07-14 05:45 - 00014608 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

2013-05-10 15:11 - 2012-04-16 15:05 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job

2013-05-10 14:05 - 2012-09-25 12:51 - 00000000 ____D C:\Users\Andy\AppData\Roaming\Spotify

2013-05-10 13:45 - 2012-09-25 12:58 - 00000000 ____D C:\Users\Andy\AppData\Local\Spotify

2013-05-10 13:35 - 2011-05-12 20:53 - 00000000 ____D C:\Users\Andy\AppData\Roaming\vlc

2013-05-10 13:26 - 2012-03-07 19:24 - 00000000 ____D C:\Users\Andy\Desktop\Müll

2013-05-10 13:26 - 2009-11-28 14:21 - 00000000 ____D C:\cod

2013-05-10 12:52 - 2011-12-03 20:01 - 00000000 ____D C:\Users\Andy\AppData\Local\LogMeIn Hamachi

2013-05-10 12:47 - 2011-04-25 21:07 - 00000000 ____D C:\Users\Andy\AppData\Roaming\ICQ

2013-05-10 12:46 - 2011-04-25 17:35 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information

2013-05-10 12:46 - 2011-04-25 17:35 - 00000000 ____D C:\Users\Andy\AppData\Roaming\InstallShield

2013-05-10 12:46 - 2011-04-25 17:35 - 00000000 ____D C:\ProgramData\InstallShield

2013-05-10 12:41 - 2011-06-24 02:58 - 00000000 ____D C:\Program Files (x86)\Amnesia - The Dark Descent

2013-05-06 20:34 - 2012-04-12 11:24 - 00001112 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1908369367-3690954649-3213997060-1001Core.job

2013-05-02 01:06 - 2011-04-25 18:09 - 00278800 ____N (Microsoft Corporation) C:\Windows\System32\MpSigStub.exe

2013-04-28 13:06 - 2012-03-07 19:29 - 00000000 ____D C:\Users\Andy\Desktop\MUSIK

2013-04-25 12:16 - 2013-04-25 11:40 - 112133364 ____A C:\Users\Andy\Downloads\0904 Umse - Wachstum [2013].rar

2013-04-25 11:47 - 2009-07-14 18:58 - 00696832 ____A C:\Windows\System32\perfh007.dat

2013-04-25 11:47 - 2009-07-14 18:58 - 00148128 ____A C:\Windows\System32\perfc007.dat

2013-04-25 11:47 - 2009-07-14 06:13 - 01613340 ____A C:\Windows\System32\PerfStringBackup.INI

2013-04-21 19:55 - 2013-04-21 19:55 - 00000427 ____A C:\Users\Public\Desktop\Soulstorm.lnk

2013-04-21 19:55 - 2011-04-27 13:27 - 00449333 ____A C:\Windows\DirectX.log

2013-04-17 16:43 - 2011-09-04 17:48 - 00000000 ____D C:\ProgramData\Adobe

2013-04-17 14:25 - 2012-04-16 15:05 - 00691592 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe

2013-04-17 14:25 - 2012-03-07 13:14 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl

2013-04-16 21:57 - 2013-04-16 14:26 - 00011804 ____A C:\Users\Andy\Desktop\Lidl.odt

2013-04-13 16:30 - 2009-07-14 05:45 - 04848784 ____A C:\Windows\System32\FNTCACHE.DAT
 

ZeroAccess:

C:\$Recycle.Bin\S-1-5-21-1908369367-3690954649-3213997060-1001\$91324472f8de5ce04e14a2335bc402a3
 

Other Malware:

===========

C:\Users\Andy\AppData\Roaming\skype.dat

C:\Users\Andy\AppData\Roaming\skype.ini

C:\ProgramData\rimdodmali.dat
 

==================== Known DLLs (Whitelisted) ================
 
 

==================== Bamital & volsnap Check =================
 

C:\Windows\System32\winlogon.exe => MD5 is legit

C:\Windows\System32\wininit.exe => MD5 is legit

C:\Windows\SysWOW64\wininit.exe => MD5 is legit

C:\Windows\explorer.exe => MD5 is legit

C:\Windows\SysWOW64\explorer.exe => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\SysWOW64\svchost.exe => MD5 is legit

C:\Windows\System32\services.exe => MD5 is legit

C:\Windows\System32\User32.dll => MD5 is legit

C:\Windows\SysWOW64\User32.dll => MD5 is legit

C:\Windows\System32\userinit.exe => MD5 is legit

C:\Windows\SysWOW64\userinit.exe => MD5 is legit

C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
 

==================== EXE ASSOCIATION =====================
 

HKLM\...\.exe: exefile => OK

HKLM\...\exefile\DefaultIcon: %1 => OK

HKLM\...\exefile\open\command: "%1" %* => OK
 

==================== Restore Points  =========================
 
 

==================== Memory info =========================== 
 

Percentage of memory in use: 11%

Total physical RAM: 6135.17 MB

Available physical RAM: 5400.36 MB

Total Pagefile: 6133.32 MB

Available Pagefile: 5398.36 MB

Total Virtual: 8192 MB

Available Virtual: 8191.88 MB
 

==================== Drives ================================
 

Drive c: (DATA) (Fixed) (Total:457.93 GB) (Free:41.42 GB) NTFS (Disk=0 Partition=3)

Drive e: (PQSERVICE) (Fixed) (Total:15.63 GB) (Free:0.68 GB) NTFS (Disk=0 Partition=1)

Drive g: (GRMCULXFREO_DE_DVD) (CDROM) (Total:3.03 GB) (Free:0 GB) CDFS

Drive k: () (Removable) (Total:0.94 GB) (Free:0.94 GB) FAT (Disk=5 Partition=1)

Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

Drive y: (ACER) (Fixed) (Total:457.96 GB) (Free:21.68 GB) NTFS (Disk=0 Partition=2) ==>[System with boot components (obtained from reading drive)]
 

==================== MBR & Partition Table ==================
 

========================================================

Disk: 0 (MBR Code: Windows 7 or 8) (Size: 932 GB) (Disk ID: 8E2CCD45)

Partition 1: (Not Active) - (Size=16 GB) - (Type=27)

Partition 2: (Active) - (Size=458 GB) - (Type=07 NTFS)

Partition 3: (Not Active) - (Size=458 GB) - (Type=07 NTFS)
 

========================================================

Disk: 5 (Size: 961 MB) (Disk ID: 00000000)

Partition 1: (Not Active) - (Size=961 MB) - (Type=06)
 
 

Last Boot: 2013-05-06 14:23
 

==================== End Of Log ============================

Sorry für die Umstände.
MfG

Servus,

sehr gut gemacht. :applaus:

Laufwerk D ist das Richtige! :abklatsch:
Wann bzw. wo genau kam diese Auswahlmöglichkeit des Laufwerks?

Wir machen jetzt nochmal einen Fix mit FRST!

Drücke auf dem sauberen Rechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster und drücke Enter.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

start

HKLM\...\Winlogon: [Userinit] D:\Windows\system32\userinit.exe,D:\Users\Andy\AppData\Roaming\Explorer\explorer.exe

D:\Users\Andy\AppData\Roaming\Explorer\explorer.exe

HKU\Andy\...\Policies\system: [EnableLUA] 0

HKU\Andy\...\Winlogon: [Shell] explorer.exe,D:\Users\Andy\AppData\Roaming\skype.dat [58880 2011-11-17] () <==== ATTENTION 

D:\Users\Andy\AppData\Roaming\skype.dat 

S3 X6va007; \??\D:\Users\Andy\AppData\Local\Temp\0073F51.tmp [x]

D:\Users\Andy\AppData\Local\Temp\0073F51.tmp

C:\Users\Andy\AppData\Roaming\skype.ini

C:\$Recycle.Bin\S-1-5-21-1908369367-3690954649-3213997060-1001\$91324472f8de5ce04e14a2335bc402a3

C:\ProgramData\rimdodmali.dat

D:\Users\Andy\AppData\Roaming\skype.ini

end

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen infizierten Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Berichte mir bitte, ob dein Rechner nach diesem Fix wieder in den normalen Modus startet und poste den Fix von FRST!

Gude,

Ich sollte noch anmerken das ich alles mit der Windows CD gestartet habe.
Nach dem Start wurde ich nach dem Laufwerk welches ich reparieren von Windows gefragt.
Als ich dann die "frst64.exe" ausgeführt habe wurde ich per "Ja" oder "Nein" noch einmal gefragt ob das Laufwerk welches angeben ist das richtige ist. Sobald ich das richtige gefunden hatte hab ich auf "Ja" geklickt und das Programm hat normal gestartet.

Hier die Fix datei:

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 10-05-2013 01

Ran by Andy at 2013-05-14 16:23:32 Run:3

Running from J:\

Boot Mode: Normal

==============================================
 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => Value was restored successfully.

D:\Users\Andy\AppData\Roaming\Explorer\explorer.exe => File/Directory not found.

HKEY_USERS\Andy\Software\Microsoft\Windows\CurrentVersion\Policies\system\\EnableLUA => Value not found.

HKEY_USERS\Andy\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value not found.

D:\Users\Andy\AppData\Roaming\skype.dat  => File/Directory not found.

X6va007 => Service not found.

D:\Users\Andy\AppData\Local\Temp\0073F51.tmp => File/Directory not found.

C:\Users\Andy\AppData\Roaming\skype.ini => File/Directory not found.

C:\$Recycle.Bin\S-1-5-21-1908369367-3690954649-3213997060-1001\$91324472f8de5ce04e14a2335bc402a3 => File/Directory not found.

C:\ProgramData\rimdodmali.dat => File/Directory not found.

D:\Users\Andy\AppData\Roaming\skype.ini => File/Directory not found.
 

==== End of Fixlog ====

Habe vorher versucht meinen PC zu starten und es hat schon nach dem Fix auf dem Laufwerk C funktioniert .....

Mfg

Servus,

ok, wir versuchen es jetzt mit ComboFix:

Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

Combofix kopieren
- Lade dir Combofix an einem sauberen Rechner (evtl. Nachbar, Freund, ...) von einem dieser Downloadlinks: Link
- Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
Start mit Eingabeaufforderung
- Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
- Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
- Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
Combofix starten
- Tippe explorer (Enter)
- Finde den USB-Stick und starte Combofix mit einem Doppelklick.
- Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
- Übergehe alle anderen Warnungen mit OK.
Logfile posten
- Es könnte eine Warnung erscheinen, ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
- Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
- Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor anklicken)
- Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Gude,

Mein PC startet wider , trotzdem ausführen ?

Zitat:

Zitat von Killaklo (Beitrag 1063227)

Mein PC startet wider ,

Sehr gut. :)

Zitat:

Zitat von Killaklo (Beitrag 1063227)

trotzdem ausführen ?

Ja, im normalen Modus ausführen, wenn der wieder funktioniert.

Du möchtest doch, dass wir den Rechner komplett bereinigen, oder? ;)

Bitte arbeite so lange mit mir, bis ich die sage, dass wir fertig sind. :)

Gude,

Logfile:

Code:

ComboFix 13-05-18.03 - Andy 19.05.2013  13:18:05.1.8 - x64

Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.6135.4332 [GMT 2:00]

ausgef¸hrt von:: L:\ComboFix.exe

AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.
  ADS - Windows: deleted 24 bytes in 1 streams. 

.

((((((((((((((((((((((((((((((((((((   Weitere Lˆschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

D:\install.exe

d:\users\Andy\AppData\Roaming\AcroIEHelpe.txt

d:\users\Andy\AppData\Roaming\explorer

d:\users\Andy\AppData\Roaming\srvblck2.tmp

d:\users\Andy\AppData\Roaming\srvblck5.tmp

d:\users\Andy\AppData\Roaming\urhtps.tmp

d:\windows\SysWow64\DEBUG.log

d:\windows\SysWow64\frapsvid.dll

d:\windows\SysWow64\Packet.dll

d:\windows\SysWow64\pthreadVC.dll

d:\windows\SysWow64\wpcap.dll

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_NPF

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-04-19 bis 2013-05-19  ))))))))))))))))))))))))))))))

.

.

2013-05-19 11:24 . 2013-05-19 11:24        --------        d-----w-        d:\users\Default\AppData\Local\temp

2013-05-17 16:18 . 2013-05-13 06:37        9460464        ----a-w-        d:\programdata\Microsoft\Windows Defender\Definition Updates\{6920F83E-D265-48E2-AFD7-A870AA550289}\mpengine.dll

2013-05-16 20:22 . 2013-05-05 21:36        17818624        ----a-w-        d:\windows\system32\mshtml.dll

2013-05-16 20:22 . 2013-05-05 21:16        2382848        ----a-w-        d:\windows\system32\mshtml.tlb

2013-05-16 20:22 . 2013-05-05 19:12        2382848        ----a-w-        d:\windows\SysWow64\mshtml.tlb

2013-05-16 12:45 . 2013-04-10 06:01        265064        ----a-w-        d:\windows\system32\drivers\dxgmms1.sys

2013-05-16 12:45 . 2013-04-10 06:01        983400        ----a-w-        d:\windows\system32\drivers\dxgkrnl.sys

2013-05-16 12:45 . 2011-02-03 11:25        144384        ----a-w-        d:\windows\system32\cdd.dll

2013-05-16 12:44 . 2013-02-27 05:52        14172672        ----a-w-        d:\windows\system32\shell32.dll

2013-05-16 12:44 . 2013-02-27 06:02        111448        ----a-w-        d:\windows\system32\consent.exe

2013-05-16 12:44 . 2013-02-27 05:52        197120        ----a-w-        d:\windows\system32\shdocvw.dll

2013-05-16 12:44 . 2013-02-27 05:48        1930752        ----a-w-        d:\windows\system32\authui.dll

2013-05-16 12:44 . 2013-02-27 05:47        70144        ----a-w-        d:\windows\system32\appinfo.dll

2013-05-16 12:44 . 2013-02-27 04:49        1796096        ----a-w-        d:\windows\SysWow64\authui.dll

2013-05-16 12:44 . 2013-03-19 05:53        48640        ----a-w-        d:\windows\system32\wwanprotdim.dll

2013-05-16 12:44 . 2013-03-19 05:53        230400        ----a-w-        d:\windows\system32\wwansvc.dll

2013-05-16 12:44 . 2013-04-10 03:30        3153920        ----a-w-        d:\windows\system32\win32k.sys

2013-05-13 14:12 . 2013-05-13 14:12        --------        d-----w-        D:\FRST

2013-04-25 08:32 . 2013-04-12 14:45        1656680        ----a-w-        d:\windows\system32\drivers\ntfs.sys

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-05-19 11:26 . 2011-03-28 17:36        22240        ----a-w-        d:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll

2013-05-16 20:25 . 2011-05-02 13:23        75016696        ----a-w-        d:\windows\system32\MRT.exe

2013-05-14 19:12 . 2012-04-16 14:05        692104        ----a-w-        d:\windows\SysWow64\FlashPlayerApp.exe

2013-05-14 19:12 . 2012-03-07 12:14        71048        ----a-w-        d:\windows\SysWow64\FlashPlayerCPLApp.cpl

2013-05-02 00:06 . 2011-04-25 17:09        278800        ------w-        d:\windows\system32\MpSigStub.exe

2013-04-13 05:49 . 2013-05-16 12:45        135168        ----a-w-        d:\windows\apppatch\AppPatch64\AcXtrnal.dll

2013-04-13 05:49 . 2013-05-16 12:45        350208        ----a-w-        d:\windows\apppatch\AppPatch64\AcLayers.dll

2013-04-13 05:49 . 2013-05-16 12:45        308736        ----a-w-        d:\windows\apppatch\AppPatch64\AcGenral.dll

2013-04-13 05:49 . 2013-05-16 12:45        111104        ----a-w-        d:\windows\apppatch\AppPatch64\acspecfc.dll

2013-04-13 04:45 . 2013-05-16 12:45        474624        ----a-w-        d:\windows\apppatch\AcSpecfc.dll

2013-04-13 04:45 . 2013-05-16 12:45        2176512        ----a-w-        d:\windows\apppatch\AcGenral.dll

2013-04-11 14:18 . 2011-06-11 08:58        281768        ----a-w-        d:\windows\SysWow64\PnkBstrB.xtr

2013-04-11 14:18 . 2011-06-10 23:16        281768        ----a-w-        d:\windows\SysWow64\PnkBstrB.exe

2013-04-11 14:07 . 2011-06-10 23:16        271200        ----a-w-        d:\windows\SysWow64\PnkBstrB.ex0

2013-03-19 06:04 . 2013-04-11 11:53        5550424        ----a-w-        d:\windows\system32\ntoskrnl.exe

2013-03-19 05:46 . 2013-04-11 11:53        43520        ----a-w-        d:\windows\system32\csrsrv.dll

2013-03-19 05:04 . 2013-04-11 11:53        3968856        ----a-w-        d:\windows\SysWow64\ntkrnlpa.exe

2013-03-19 05:04 . 2013-04-11 11:53        3913560        ----a-w-        d:\windows\SysWow64\ntoskrnl.exe

2013-03-19 04:47 . 2013-04-11 11:53        6656        ----a-w-        d:\windows\SysWow64\apisetschema.dll

2013-03-19 03:06 . 2013-04-11 11:53        112640        ----a-w-        d:\windows\system32\smss.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="d:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]

"Spotify Web Helper"="d:\users\Andy\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2013-05-05 1105408]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="d:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]

"StartCCC"="d:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-11-16 641704]

.

d:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

NETGEAR WNDA3100v2 Setup-Assistent.lnk - d:\program files (x86)\NETGEAR\WNDA3100v2\WNDA3100v2.exe [2011-11-29 4577760]

SmartCopy.lnk - d:\program files (x86)\Northstar\SmartCopy\SmartCopy.exe [2011-4-25 319488]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]

"DivXUpdate"="d:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

"TkBellExe"="d:\program files (x86)\Real\RealPlayer\update\realsched.exe"  -osboot

"QuickTime Task"="d:\program files (x86)\QuickTime\QTTask.exe" -atboottime

"iTunesHelper"="d:\program files (x86)\iTunes\iTunesHelper.exe"

"StartCCC"="d:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

"CloneCDTray"="d:\program files (x86)\SlySoft\CloneCD\CloneCDTray.exe" /s

"LogMeIn Hamachi Ui"="d:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start

"SunJavaUpdateSched"="d:\program files (x86)\Common Files\Java\Java Update\jusched.exe"

"AMD AVT"=Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "d:\program files (x86)\AMD AVT\bin\kdbsync.exe" aml

"WinampAgent"="d:\program files (x86)\Winamp\winampa.exe"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"="1"

"UpdatesDisableNotify"="1"

.

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;d:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 WSWNDA3100;WSWNDA3100;d:\program files (x86)\NETGEAR\WNDA3100v2\WifiSvc.exe [2010-08-19 272864]

R3 dump_wmimmc;dump_wmimmc;c:\windows.old.000\program files (x86)\steam\steamapps\common\ava\Binaries\GameGuard\dump_wmimmc.sys [x]

R3 EagleX64;EagleX64;d:\windows\system32\drivers\EagleX64.sys [x]

R3 ggflt;SEMC USB Flash Driver Filter;d:\windows\system32\DRIVERS\ggflt.sys [2011-06-21 13352]

R3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;d:\windows\system32\drivers\LGVirHid.sys [2009-11-24 16008]

R3 libusb0;libusb-win32 - Kernel Driver 04/08/2011 1.2.4.0;d:\windows\system32\DRIVERS\libusb0.sys [2011-05-17 44480]

R3 npggsvc;nProtect GameGuard Service;d:\windows\system32\GameMon.des [x]

R3 s0017bus;Sony Ericsson Device 0017 driver (WDM);d:\windows\system32\DRIVERS\s0017bus.sys [2008-10-21 113704]

R3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;d:\windows\system32\DRIVERS\s0017mdfl.sys [2008-10-21 19496]

R3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;d:\windows\system32\DRIVERS\s0017mdm.sys [2008-10-21 152616]

R3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);d:\windows\system32\DRIVERS\s0017mgmt.sys [2008-10-21 133160]

R3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);d:\windows\system32\DRIVERS\s0017nd5.sys [2008-10-21 34856]

R3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;d:\windows\system32\DRIVERS\s0017obex.sys [2008-10-21 128552]

R3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);d:\windows\system32\DRIVERS\s0017unic.sys [2008-10-21 145960]

R3 Sony PC Companion;Sony PC Companion;d:\program files (x86)\Sony\Sony PC Companion\PCCService.exe [2012-01-18 155320]

R3 TsUsbFlt;TsUsbFlt;d:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]

R4 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;d:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2012-12-10 2465712]

R4 ICQ Service;ICQ Service;d:\program files (x86)\ICQ6Toolbar\ICQ Service.exe [2010-11-21 247608]

S0 SCMNdisP;General NDIS Protocol Driver;d:\windows\system32\DRIVERS\scmndisp.sys [2007-01-19 25312]

S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;d:\windows\system32\DRIVERS\dtsoftbus01.sys [2011-08-18 254528]

S2 Akamai;Akamai NetSession Interface;d:\windows\System32\svchost.exe [2009-07-14 27136]

S2 AMD External Events Utility;AMD External Events Utility;d:\windows\system32\atiesrxx.exe [2012-11-16 238080]

S2 AntiVirSchedulerService;Avira AntiVir Planer;d:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-29 136360]

S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\program files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesService64.exe [2011-03-30 2026304]

S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;d:\windows\system32\drivers\AtihdW76.sys [2012-02-23 95760]

S3 BCMH43XX;Treiber f¸r Broadcom 802.11-USB-Netzwerkadapter;d:\windows\system32\DRIVERS\bcmwlhigh664.sys [2009-11-06 838136]

S3 e1yexpress;Intel(R) Gigabit-Netzwerkverbindungstreiber;d:\windows\system32\DRIVERS\e1y60x64.sys [2009-06-10 281088]

S3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;d:\windows\system32\drivers\LGBusEnum.sys [2009-11-24 22408]

S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\program files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesDriver64.sys [2010-10-07 11856]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]

Akamai        REG_MULTI_SZ           Akamai

.

Inhalt des "geplante Tasks" Ordners

.

2013-05-19 d:\windows\Tasks\Adobe Flash Player Updater.job

- d:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-16 19:12]

.

2013-05-17 d:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1908369367-3690954649-3213997060-1001Core.job

- d:\users\Andy\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-04-12 19:29]

.

2013-05-18 d:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1908369367-3690954649-3213997060-1001UA.job

- d:\users\Andy\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-04-12 19:29]

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"OEM Upgrade DVD"="d:\oem\Upgrade Kit\DVDMainStart.Launcher.exe" [2009-10-19 410968]

"Launch LCore"="d:\program files\Logitech Gaming Software\LCore.exe" [2011-12-07 5889816]

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - LocalService

FontCache

.

------- Zus‰tzlicher Suchlauf -------

.

uLocal Page = d:\windows\system32\blank.htm

mLocal Page = d:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyOverride = 127.0.0.1:9421;<local>

IE: Free YouTube to MP3 Converter - d:\users\Andy\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - d:\program files (x86)\ICQ7.5\ICQ.exe

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - d:\users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\g4h18ccp.default\

FF - prefs.js: network.proxy.type - 0

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -

.

AddRemove-Guild Wars - d:\guild wars\Gw.exe

.

.

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai]

"ServiceDll"="d:\program files (x86)\common files\akamai/netsession_win_ca0e279.dll"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc]

"ImagePath"="d:\windows\system32\GameMon.des -service"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-1908369367-3690954649-3213997060-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

@Allowed: (Read) (RestrictedCode)

"??"=hex:0d,a0,9c,6a,a3,66,a5,4b,b8,92,e4,8f,04,a1,7b,0d,76,c8,2b,c8,4b,56,88,

   4d,12,b8,11,6c,7c,b7,88,1a,4e,46,78,d7,ce,1e,54,65,9e,83,1e,8f,4a,7b,45,5d,\

"??"=hex:41,e0,42,8c,cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b

.

[HKEY_USERS\S-1-5-21-1908369367-3690954649-3213997060-1001\Software\SecuROM\License information*]

"datasecu"=hex:cc,79,35,6f,d1,1c,fb,21,5c,9f,7d,0e,52,c7,ac,f6,7c,fb,08,8f,ce,

   d5,0e,0d,34,c3,51,38,67,cb,b4,f4,22,9e,c5,56,3f,88,4c,93,e3,7d,3d,3c,18,f3,\

"rkeysecu"=hex:4c,c7,46,e7,d7,01,46,1c,d6,68,23,8e,ad,a0,84,93

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_202_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_202_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@d:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="d:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="d:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_202.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.11"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="d:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_202.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="d:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_202.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="d:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_202.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

d:\program files (x86)\Avira\AntiVir Desktop\avguard.exe

d:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

d:\windows\SysWOW64\PnkBstrA.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2013-05-19  13:30:31 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2013-05-19 11:30

.

Vor Suchlauf: 76 Verzeichnis(se), 67.919.212.544 Bytes frei

Nach Suchlauf: 81 Verzeichnis(se), 67.983.659.008 Bytes frei

.

- - End Of File - - A67BAE6E5C8A25EF104AD63C4A8E0E0B

Ich kann allerdings seit dem ich den ComboFix ausgeführt habe keine Anwendungen mehr starten auf meinem Pc, dazu gehört unter anderem mein Internetexplorer sowie FIrefox.
Ist das normal ?

MFG