|
Weißer Bildschirm, Bundespolizei, usw. Betriebssystem Windows 7 64 Bit Hi, Ich habe mir eine sog. Ransomware eingefangen, und versucht, diesen Trojaner mit Hilfe einer cd aus einer Fachzeitschrift zu löschen. Leider hat es nicht funktioniert, da der Rechner von cd nicht bootet. Selbst wenn ich den Rechner im abgesicherten Modus starte, fährt er wieder runter. Hat irgendjemand eine Idee, wie ich dem Übel ein Ende setze, ohne die Platte zu formatieren?:daumenrunter: |
Hi, Zitat:
Aber dazu brauch ich zuerst mal einen Einblick: Downloade dir bitte Farbar Recovery Scan Tool 64-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!). Schliesse den USB Stick an den infizierten Rechner an. Du musst das System nun in die System Reparatur Option booten: Variante 1 - Über den Boot Manager Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
|
Hallo Leo, ich hab mir das Tool auf einen Stick gezogen, bin dann in die Eigabeaufforderung, doch leider wird der Stick nicht erkannt bzw finde ich nicht den Laufwerkbuchstaben hierfür. Was mache ich falsch oder kann ich tun? |
Hast du es so gemacht wie in der Anleitung (Ein notepad-Fenster öffnen und über Speicher unter den Stick suchen)? Hast du es auch mal mit einem anderen Stick ausprobiert? |
Hallo, nun hat es doch geklappt.....(anderer Stick) FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-07-2013 |
Prima. :) Kannst du nach folgendem Fix den Rechner wieder normal starten? Drücke auf einem Zweitrechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument: Code: HKU\Kristina\...\Winlogon: [Shell] explorer.exe,C:\Users\Kristina\AppData\Roaming\skype.dat [70144 2011-11-17] () <==== ATTENTION
|
JA, er startet wieder.... hura :-) Hier die Fixlog: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 02-07-2013 Ran by SYSTEM at 2013-07-02 15:56:08 Run:1 Running from G:\ Boot Mode: Recovery ============================================== HKU\Kristina\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully. HKU\Kristina\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully. C:\Users\Kristina\AppData\Roaming\skype.dat => Moved successfully. C:\Users\Kristina\AppData\Roaming\skype.ini => Moved successfully. C:\Users\Kristina\AppData\Local\Temp\rtnwuhxawiucvcrqa.exe => File/Directory not found. C:\Users\Kristina\AppData\Local\Temp\rtnwuhxawiucvcrqa.dll => File/Directory not found. ==== End of Fixlog ==== |
Prima. Dann verschiebe die frst64.exe vom USB-Stick auf den Desktop.
|
FRST Additions Logfile: [CODE]Additional scan result of Farbar Recovery Scan Tool (x64) Version: 02-07-2013 Ran by Kristina at 2013-07-02 16:14:26 Running from C:\Users\Kristina\Desktop Boot Mode: Normal ========================================================== ==================== Installed Programs ======================= Update for Microsoft Office 2007 (KB2508958) (x32) 64 Bit HP CIO Components Installer (Version: 6.2.1) Adobe Flash Player 11 ActiveX (x32 Version: 11.7.700.224) Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.224) Adobe Reader XI (11.0.03) - Deutsch (x32 Version: 11.0.03) Ahnenblatt 2.62 (x32 Version: 2.62.0.0) AIO_CDB_ProductContext (x32 Version: 130.0.365.000) AIO_CDB_Software (x32 Version: 130.0.365.000) AIO_Scan (x32 Version: 130.0.421.000) Apple Application Support (x32 Version: 2.3.4) Apple Mobile Device Support (Version: 6.1.0.13) Apple Software Update (x32 Version: 2.1.3.127) Ask Toolbar (x32 Version: 1.14.1.0) Avira Free Antivirus (x32 Version: 12.1.9.1236) Avira SearchFree Toolbar plus Web Protection Updater (HKCU Version: 1.2.0.20064) Baphomets Fluch - The Director's Cut (x32) Bonjour (Version: 3.0.0.10) BufferChm (x32 Version: 130.0.331.000) CCleaner (Version: 4.02) Copy (x32 Version: 130.0.428.000) D3DX10 (x32 Version: 15.4.2368.0902) Destinations (x32 Version: 140.0.77.000) DeviceDiscovery (x32 Version: 130.0.465.000) DJ_AIO_03_F2200_Software_Min (x32 Version: 130.0.365.000) DocProc (x32 Version: 13.0.0.0) F2200 (x32 Version: 130.0.365.000) Fax (x32 Version: 130.0.418.000) Google Earth Plug-in (x32 Version: 7.1.1.1580) Google Update Helper (x32 Version: 1.3.21.149) GPBaseService2 (x32 Version: 130.0.371.000) HP Customer Participation Program 13.0 (Version: 13.0) HP Deskjet F2200 All-In-One Driver Software 13.0 Rel. 3 (Version: 13.0) HP Imaging Device Functions 13.0 (Version: 13.0) HP Photosmart Essential 3.5 (Version: 3.5) HP Photosmart Officejet and Deskjet All-In-One Driver Software 13.0 Rel. B (Version: 13.0) HP Smart Web Printing 4.60 (Version: 4.60) HP Solution Center 13.0 (Version: 13.0) HP Update (x32 Version: 5.002.006.003) HPPhotoGadget (x32 Version: 130.0.282.000) HPPhotoSmartDiscLabelContent1 (x32 Version: 2.04.0000) HPPhotosmartEssential (x32 Version: 2.04.0000) HPProductAssistant (x32 Version: 130.0.371.000) HPSSupply (x32 Version: 130.0.371.000) HTC Driver Installer (x32 Version: 4.1.0.001) HTC Sync Manager (x32 Version: 2.0.52.0) iCloud (Version: 2.1.2.8) Intel(R) Graphics Media Accelerator Driver (Version: 8.15.10.1892) IPTInstaller (x32 Version: 4.0.8) iTunes (Version: 11.0.4.4) Java 7 Update 9 (x32 Version: 7.0.90) Java Auto Updater (x32 Version: 2.1.9.0) JDownloader 0.9 (x32 Version: 0.9) Malwarebytes Anti-Malware Version 1.75.0.1300 (x32 Version: 1.75.0.1300) MarketResearch (x32 Version: 130.0.374.000) mediscript Hammerexamen (x32 Version: 5.0.0) Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319) Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319) Microsoft Application Error Reporting (Version: 12.0.6015.5000) Microsoft Corporation (Version: 9.1.0.0) Microsoft Corporation (x32 Version: 9.1.0.0) Microsoft LifeCam (Version: 3.60.253.0) Microsoft Office 2007 Service Pack 3 (SP3) (x32) Microsoft Office Access MUI (German) 2007 (x32 Version: 12.0.6612.1000) Microsoft Office Excel MUI (German) 2007 (x32 Version: 12.0.6612.1000) Microsoft Office File Validation Add-In (x32 Version: 14.0.5130.5003) Microsoft Office Live Add-in 1.5 (x32 Version: 2.0.4024.1) Microsoft Office Office 64-bit Components 2007 (Version: 12.0.6612.1000) Microsoft Office Outlook MUI (German) 2007 (x32 Version: 12.0.6612.1000) Microsoft Office PowerPoint MUI (German) 2007 (x32 Version: 12.0.6612.1000) Microsoft Office Professional 2007 (x32 Version: 12.0.6612.1000) Microsoft Office Proof (English) 2007 (x32 Version: 12.0.6612.1000) Microsoft Office Proof (French) 2007 (x32 Version: 12.0.6612.1000) Microsoft Office Proof (German) 2007 (x32 Version: 12.0.6612.1000) Microsoft Office Proof (Italian) 2007 (x32 Version: 12.0.6612.1000) Microsoft Office Proofing (German) 2007 (x32 Version: 12.0.4518.1014) Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3) (x32) Microsoft Office Publisher MUI (German) 2007 (x32 Version: 12.0.6612.1000) Microsoft Office Shared 64-bit MUI (German) 2007 (Version: 12.0.6612.1000) Microsoft Office Shared MUI (German) 2007 (x32 Version: 12.0.6612.1000) Microsoft Office Word MUI (German) 2007 (x32 Version: 12.0.6612.1000) Microsoft Silverlight (Version: 5.1.20125.0) Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.59193) Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.61001) Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 (x32 Version: 9.0.30729.4148) Microsoft Visual C++ 2008 Redistributable - KB2467174 - x64 9.0.30729.5570 (Version: 9.0.30729.5570) Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 (x32 Version: 9.0.30729.5570) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (Version: 9.0.30729.4148) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (Version: 9.0.30729.6161) Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 (x32 Version: 9.0.21022) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (x32 Version: 9.0.30729) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (x32 Version: 9.0.30729.4148) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219) Mozilla Firefox 12.0 (x86 de) (x32 Version: 12.0) Mozilla Maintenance Service (x32 Version: 21.0) MSVCRT (x32 Version: 15.4.2862.0708) MSXML 4.0 SP2 (KB954430) (x32 Version: 4.20.9870.0) MSXML 4.0 SP2 (KB973688) (x32 Version: 4.20.9876.0) Network64 (Version: 130.0.572.000) O&O MediaRecovery (x32 Version: 4.1.1322) OCR Software by I.R.I.S. 13.0 (Version: 13.0) PDF24 Creator 5.2.0 (x32) Picasa 3 (x32 Version: 3.9) ProtectDisc Helper Driver (x32 Version: 9.1.0.0) QuickTime (x32 Version: 7.74.80.86) SAT1 GAME CENTER (x32 Version: 1.0.0.46) Scan (x32 Version: 140.0.80.000) Skype Click to Call (x32 Version: 6.3.11079) Skype™ 6.5 (x32 Version: 6.5.158) SmartWebPrinting (x32 Version: 140.0.186.000) SolutionCenter (x32 Version: 130.0.373.000) Status (x32 Version: 130.0.469.000) Toolbox (x32 Version: 130.0.648.000) TrayApp (x32 Version: 130.0.422.000) UnloadSupport (x32 Version: 11.0.0) Update for 2007 Microsoft Office System (KB967642) (x32) Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (x32 Version: 1) Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (x32 Version: 1) Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (x32 Version: 1) Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (x32 Version: 1) Update for Microsoft Office 2007 suites (KB2596620) 32-Bit Edition (x32) Update for Microsoft Office 2007 suites (KB2596660) 32-Bit Edition (x32) Update for Microsoft Office 2007 suites (KB2596802) 32-Bit Edition (x32) Update for Microsoft Office 2007 suites (KB2596848) 32-Bit Edition (x32) Update for Microsoft Office 2007 suites (KB2687493) 32-Bit Edition (x32) Update for Microsoft Office 2007 suites (KB2767916) 32-Bit Edition (x32) Update for Microsoft Office Outlook 2007 (KB2687404) 32-Bit Edition (x32) Update for Microsoft Office Outlook 2007 Junk Email Filter (KB2817327) 32-Bit Edition (x32) Update für Microsoft Office Excel 2007 Help (KB963678) (x32) Update für Microsoft Office Outlook 2007 Help (KB963677) (x32) Update für Microsoft Office Powerpoint 2007 Help (KB963669) (x32) Update für Microsoft Office Word 2007 Help (KB963665) (x32) VLC media player 2.0.0 (x32 Version: 2.0.0) WebReg (x32 Version: 130.0.132.017) Windows Live Communications Platform (x32 Version: 15.4.3502.0922) Windows Live Essentials (x32 Version: 15.4.3502.0922) Windows Live Essentials (x32 Version: 15.4.3555.0308) Windows Live ID Sign-in Assistant (Version: 7.250.4232.0) Windows Live Installer (x32 Version: 15.4.3502.0922) Windows Live Language Selector (Version: 15.4.3555.0308) Windows Live Messenger (x32 Version: 15.4.3538.0513) Windows Live Photo Common (x32 Version: 15.4.3502.0922) Windows Live PIMT Platform (x32 Version: 15.4.3508.1109) Windows Live SOXE (x32 Version: 15.4.3502.0922) Windows Live SOXE Definitions (x32 Version: 15.4.3502.0922) Windows Live UX Platform (x32 Version: 15.4.3502.0922) Windows Live UX Platform Language Pack (x32 Version: 15.4.3508.1109) WinRAR (x32) Write-N-Cite (x32 Version: III) ==================== Restore Points ========================= 01-07-2013 01:00:12 Windows Update 02-07-2013 14:08:22 Windows Update ==================== Scheduled Tasks (whitelisted) ============= Task: {27B98F8D-53AB-4F7F-8656-BF41A014AAC3} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-06-27] (Google Inc.) Task: {3BA5CFE3-6E1B-4DBA-ACFD-B3584976228F} - System32\Tasks\Microsoft\Windows\WindowsBackup\Windows Backup Monitor => C:\Windows\system32\sdclt.exe [2010-11-20] (Microsoft Corporation) Task: {4AF2B1C9-EE8C-419D-9AEC-94B769B04D0B} - System32\Tasks\Microsoft\Windows\WindowsBackup\AutomaticBackup => C:\Windows\system32\rundll32.exe [2009-07-14] (Microsoft Corporation) Task: {515DD1E9-3A25-4AE8-8961-CC4D88F9ED92} - System32\Tasks\CCleanerSkipUAC => C:\Program Files (x86)\CCleaner\CCleaner.exe [2013-05-24] (Piriform Ltd) Task: {55DCF458-9EE7-4B08-8606-A8A20676B88B} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-06-27] (Google Inc.) Task: {9394DEBE-51C0-4A29-8325-DCE01456D85D} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-06-12] (Adobe Systems Incorporated) Task: {963306ED-B20B-479B-9E73-E765568A5875} - System32\Tasks\Microsoft\Windows Live\SOXE\Extractor Definitions Update Task Task: {CF7480DB-9297-45CD-BE27-2476618FF35B} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2011-06-01] (Apple Inc.) Task: {CF7822AD-9F97-4663-A8A9-FAA1D9FF159F} - System32\Tasks\Microsoft\Windows Defender\MP Scheduled Scan => C:\program files\windows defender\MpCmdRun.exe [2009-07-14] (Microsoft Corporation) Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe ==================== Faulty Device Manager Devices ============= ==================== Event log errors: ========================= Application errors: ================== Error: (07/02/2013 04:05:14 PM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT) Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich. Error: (07/02/2013 04:05:14 PM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT) Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error: (07/02/2013 04:05:13 PM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT) Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error: (07/01/2013 10:01:28 PM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT) Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich. Error: (07/01/2013 10:01:28 PM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT) Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error: (07/01/2013 10:01:28 PM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT) Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error: (07/01/2013 05:36:56 PM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT) Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich. Error: (07/01/2013 05:36:56 PM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT) Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error: (07/01/2013 05:36:56 PM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT) Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error: (07/01/2013 04:41:53 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT) Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich. System errors: ============= Error: (07/02/2013 04:00:39 PM) (Source: EventLog) (User: ) Description: Das System wurde zuvor am ?01.?07.?2013 um 22:12:05 unerwartet heruntergefahren. Error: (07/01/2013 09:57:18 PM) (Source: Service Control Manager) (User: ) Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: AFD avipbb avkmgr CSC DfsC discache NetBIOS NetBT nsiproxy Psched rdbss spldr sptd tdx vwififlt Wanarpv6 WfpLwf ws2ifsl Error: (07/01/2013 09:57:18 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "NLA (Network Location Awareness)" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1068 Error: (07/01/2013 09:57:18 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "SMB 2.0-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1068 Error: (07/01/2013 09:57:18 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "SMB 1.x-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1068 Error: (07/01/2013 09:57:18 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "SMB-Miniredirector-Wrapper und -Modul" ist vom Dienst "Umgeleitetes Puffersubsystem" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%31 Error: (07/01/2013 09:57:18 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "IP-Hilfsdienst" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1068 Error: (07/01/2013 09:57:18 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Arbeitsstationsdienst" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1068 Error: (07/01/2013 09:57:18 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Netzwerkspeicher-Schnittstellendienst" ist vom Dienst "NSI proxy service driver." abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%31 Error: (07/01/2013 09:57:18 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "TCP/IP-NetBIOS-Hilfsdienst" ist vom Dienst "Ancillary Function Driver for Winsock" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%31 Microsoft Office Sessions: ========================= Error: (07/31/2011 10:37:59 AM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 4 seconds with 0 seconds of active time. This session ended with a crash. Error: (04/21/2011 01:52:56 AM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 3 seconds with 0 seconds of active time. This session ended with a crash. Error: (03/31/2011 11:55:08 AM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 3 seconds with 0 seconds of active time. This session ended with a crash. Error: (03/05/2011 04:08:38 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 2 seconds with 0 seconds of active time. This session ended with a crash. CodeIntegrity Errors: =================================== Date: 2012-09-19 06:20:08.767 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\wow64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2012-09-19 06:19:56.279 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\wow64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2012-09-19 06:19:35.448 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\wow64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2012-09-18 21:22:09.158 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\wow64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2012-09-18 21:21:54.668 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\wow64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2012-07-05 20:30:52.500 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\wow64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2012-06-23 23:18:07.593 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\wow64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2012-03-31 00:08:01.764 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\wow64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2012-03-31 00:04:55.158 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\wow64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2012-03-31 00:04:41.784 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\wow64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. ==================== Memory info =========================== Percentage of memory in use: 34% Total physical RAM: 4025.98 MB Available physical RAM: 2628.65 MB Total Pagefile: 8050.14 MB Available Pagefile: 6540.82 MB Total Virtual: 8192 MB Available Virtual: 8191.84 MB ==================== Drives ================================ Drive c: () (Fixed) (Total:148.94 GB) (Free:70.1 GB) NTFS (Disk=0 Partition=2) Drive d: () (Fixed) (Total:149 GB) (Free:3.86 GB) FAT32 (Disk=0 Partition=3) Drive e: (PCWELT_7_2013) (CDROM) (Total:1.79 GB) (Free:0 GB) CDFS Drive g: (HP v100w) (Removable) (Total:3.76 GB) (Free:2.23 GB) FAT32 (Disk=1 Partition=1) ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298 GB) (Disk ID: 08D908D8) Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=149 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=149 GB) - (Type=0C) ======================================================== Disk: 1 (Size: 4 GB) (Disk ID: 2C6B7369) Partition 1: (Not Active) - (Size=883 GB) - (Type=68) Partition 2: (Not Active) - (Size=257 GB) - (Type=79) Partition 3: (Not Active) - (Size=667 GB) - (Type=53) Partition 4: (Not Active) - (Size=10 MB) - (Type=49) ==================== End Of Log ============================ FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-07-2013--- --- --- |
Hi, entschuldige bitte die Verzögerung. Schritt 1 Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Schritt 2 Starte noch einmal FRST.
Bitte poste in deiner nächsten Antwort:
|
.....Kein Ding ;-) hier der 1. Log :AdwCleaner Logfile: Code: # AdwCleaner v2.304 - Datei am 04/07/2013 um 14:47:31 erstelltHier der 2. Log: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 04-07-2013--- --- --- |
Hallo, wie läuft der Rechner jetzt? Schritt 1 Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe "notepad" in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument: Code: AppInit_DLLs: C:\PROGRA~2\SEARCH~1\SEARCH~1\x64\IEBHO.dll [97280 2009-07-14] ()
Schritt 2 Downloade Dir bitte  Malwarebytes Anti-Malware
Schritt 3 ESET Online Scanner
Schritt 4 Starte noch einmal FRST.
Bitte poste in deiner nächsten Antwort:
|
Der Rechner läuft eigentlich gut, nichts deutet auf böse Dinge ;-) Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 04-07-2013 Ran by Kristina at 2013-07-04 17:00:22 Run:2 Running from C:\Users\Kristina\Desktop Boot Mode: Normal ============================================== HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs => Value was restored successfully. HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs => Value was restored successfully. "C:\PROGRA~2\SEARCH~1" => File/Directory not found. "c:\progra~3\browse~1" => File/Directory not found. ==== End of Fixlog ==== Malwarebytes Anti-Malware 1.75.0.1300 Malwarebytes : Free anti-malware download Datenbank Version: v2013.07.04.06 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16618 Kristina :: KRISTINA-PC [Administrator] 04.07.2013 17:08:36 mbam-log-2013-07-04 (17-08-36).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 215768 Laufzeit: 6 Minute(n), 5 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Hallo Leo, Der Bildschirm ist wieder weiß !!! Nachdem Malewarebytes erfolgreich gelaufen ist, ging ein paar Minuten später alles wieder den Bach runter...:-( Soll ich alles wieder von vorne starten??????? Was für ein Käse.... Hallo Leo, Der Bildschirm ist wieder weiß !!! Nachdem Malewarebytes erfolgreich gelaufen ist, ging ein paar Minuten später alles wieder den Bach runter...:-( Soll ich alles wieder von vorne starten??????? Was für ein Käse.... Der Bildschirm ist wieder weiß !!! Nachdem Malewarebytes erfolgreich gelaufen ist, ging ein paar Minuten später alles wieder den Bach runter...:-( :aufsmaul: Soll ich alles wieder von vorne starten??????? Was für ein Käse.... Hallo Leo, Der Bildschirm ist wieder weiß !!! Nachdem Malewarebytes erfolgreich gelaufen ist, ging ein paar Minuten später alles wieder den Bach runter...:-( Soll ich alles wieder von vorne starten??????? Was für ein Käse.... Der Bildschirm ist wieder weiß !!! Nachdem Malewarebytes erfolgreich gelaufen ist, ging ein paar Minuten später alles wieder den Bach runter...:-( Soll ich alles wieder von vorne starten??????? Was für ein Käse.... :headbang: |
Ja wir brauchen einen neuen FRST-Scan aus dem Recovery Environment: Downloade dir bitte Farbar Recovery Scan Tool 64-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!). Schliesse den USB Stick an den infizierten Rechner an. Du musst das System nun in die System Reparatur Option booten: Variante 1 - Über den Boot Manager Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
|
FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-07-2013 |
Ja, du hast dir eine neue Variante eingefangen.. Benutze diesen Rechner nicht mehr zum Surfen, bis wir ganz fertig sind (geht nicht mehr lange), sonst besteht die Gefahr, dass du dich erneut infizierst. Nach dem Fix sollte der Rechner wieder normal starten. Schritt 1 Drücke auf einem Zweitrechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument: Code: C:\Users\Kristina\5044278.dll
Falls der Rechner wieder normal startet, dann gleich so weiter: Schritt 2 Verschiebe die frst64.exe vom USB-Stick auf den Desktop.
Bitte poste in deiner nächsten Antwort:
|
FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 04-07-2013--- --- --- FRST Additions Logfile: Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 04-07-2013 |
Gut, machen wir weiter, wo wir stehen geblieben sind: Schritt 1
Schritt 2 ESET Online Scanner
Bitte poste in deiner nächsten Antwort:
|
Malwarebytes Anti-Malware 1.75.0.1300 Malwarebytes : Free anti-malware download Datenbank Version: v2013.07.05.03 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16618 Kristina :: KRISTINA-PC [limitiert] 05.07.2013 20:24:56 mbam-log-2013-07-05 (20-24-56).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 215715 Laufzeit: 6 Minute(n), 15 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Kristina\AppData\Local\Temp\fo7nil.dat (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
Ok, fehlt nur noch ESET. |
ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6920 # api_version=3.0.2 # EOSSerial=59445494c4fed94b9777e54b19f9c465 # engine=14286 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2013-07-05 11:00:47 # local_time=2013-07-06 01:00:47 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=1799 16775165 100 99 36639 118835730 187232 0 # compatibility_mode=5893 16776573 100 94 26109 124695097 0 0 # scanned=171892 # found=9 # cleaned=0 # scan_time=15244 sh=E693A933D18AD7C2F90153C6567E0CF8E18849EE ft=1 fh=8fd76cd0919e35a3 vn="a variant of Win32/Kryptik.BFAS trojan" ac=I fn="C:\FRST\Quarantine\5044278.dll" sh=E693A933D18AD7C2F90153C6567E0CF8E18849EE ft=1 fh=8fd76cd0919e35a3 vn="a variant of Win32/Kryptik.BFAS trojan" ac=I fn="C:\FRST\Quarantine\fo7nil.dat" sh=2E468C81F3F6557BDB05BCEDCDA8DB36F4DB8CA0 ft=0 fh=0000000000000000 vn="Win32/Reveton.M trojan" ac=I fn="C:\FRST\Quarantine\lin7of.bat" sh=B5E9C36D299933278A4AD6729486EE01045E75BD ft=0 fh=0000000000000000 vn="Win32/Reveton.M trojan" ac=I fn="C:\FRST\Quarantine\regmonstd.lnk" sh=BAC5987E38E3B873C7807EA0E441A4555923521E ft=1 fh=68f0e5c7a574bcb8 vn="a variant of Win32/Kryptik.BEWL trojan" ac=I fn="C:\FRST\Quarantine\skype.dat" sh=0BD83273E863A7106D01104E55857F908AB25E98 ft=0 fh=0000000000000000 vn="Win32/Reveton.R trojan" ac=I fn="C:\Users\Kristina\AppData\Local\Temp\lin7of.js" sh=A32311859E0313217D2BF0C5AEFF855C0C0717D8 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Users\Kristina\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\7905fb51-19acd65c" sh=E3EAEEF071BCFB167C7FE461D880F4E95B4E8E7F ft=1 fh=fe123ead61403047 vn="Win32/Adware.1ClickDownload.W application" ac=I fn="C:\Users\Kristina\Downloads\Zombieland.exe" sh=A5787A16E9608CFE21776B9DC89195F75DEAE640 ft=0 fh=0000000000000000 vn="Win32/Adware.1ClickDownload.W application" ac=I fn="D:\KRISTINA-PC\Backup Set 2013-02-17 190001\Backup Files 2013-02-17 190001\Backup files 6.zip" |
Hallo, das sind allesamt keine aktiven Funde mehr. Bring noch die Software uptodate und wir räumen auf. Schritt 1 Lade dir TFC (von Oldtimer) herunter und speichere es auf den Desktop.
Schritt 2 Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können. Die aktuelle Version ist Java 7 Update 25.
Überleg dir also, ob du eine Java-Installation wirklich brauchst. Falls du Java weiterhin verwenden möchtest, dann:
Schritt 3 Dein Firefox ist nicht mehr aktuell. Starte deinen Firefox als Administrator, klicke Hilfe --> Über Firefox und führe das angebotene Update durch. Wiederhole diesen Schritt, bis Firefox als aktuell angezeigt wird. Überprüfe dann mit diesem Plugin-Check (mit dem Firefox hier), ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls. Cleanup Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.
>> OK << Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst. Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann. Epilog: Tipps, Dos & Don'ts  Aktualität von System und SoftwareDas Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:
Auch die installierte Software sollte immer in der aktuellsten Version vorliegen. Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.
Sicherheits-SoftwareEine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt). Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.
Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt. Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:
(Un-)Sicheres Verhalten im InternetNebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert. Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).
Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.
Allgemeine HinweiseAbschliessend noch ein paar grundsätzliche Bemerkungen:
Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen. Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;) |
hallo leo, nachdem ich alles up to date und den virenscanner von avira gegen kaspersky ausgetauscht habe, findet der immer trojanische programme. komisch ist nur, dass malewarebytes nie was findet. was hälst du davon? es ist nur eine testversion, keine vollversion von kaspersky. habe dann auch noch den virenscanner von mirosoft drauf gemacht, der erst nichts fand, jetzt aber auch 2 dateien findet????? |
Ohne weitere Angaben kann ich nicht viel dazu sagen. Kannst du bitte die genauen Fundmeldungen von Kaspersky und MSE hier posten? |
Malewarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.07.25.04 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16635 Kristina :: KRISTINA-PC [Administrator] 25.07.2013 20:24:27 mbam-log-2013-07-25 (20-24-27).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 217682 Laufzeit: 2 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) hier wird meines Erachtens nur c: durchsucht, der Fund soll aber auf d: sein. Kann man Laufwerk d: auch mit mwb durchsuchen? |
Das war nur der Quickscan und keine Vollständige Durchleuchtung von C: Aber du kannst über die Optionen auch Partitionen ganz scannen lassen. Aber ich wollte Logs der gefundenen Malware sehen, damit ich das einschätzen kann! |
Malwarebytes Anti-Malware 1.75.0.1300 Malwarebytes : Free anti-malware download Datenbank Version: v2013.07.27.04 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16635 Kristina :: KRISTINA-PC [Administrator] 27.07.2013 19:12:05 mbam-log-2013-07-27 (19-12-05).txt Art des Suchlaufs: Vollständiger Suchlauf (D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 212276 Laufzeit: 2 Minute(n), 43 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Typ: legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen (4) not-a-virus:RiskTool.Java.BitCoinMiner.b Gefunden; nicht verarbeitet 27.07.2013 15:58:49 D:\KRISTINA-PC\Backup Set 2012-07-01 202346\Backup Files 2012-07-01 202346\Backup files 3.zip//C\Users\Kristina\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\2e002d9c-4d5cd4b2//com/bitcoinplus/applet/ MiningApplet.class not-a-virus:RiskTool.Java.BitCoinMiner.b Gefunden; nicht verarbeitet 27.07.2013 15:31:40 D:\KRISTINA-PC\Backup Set 2012-02-12 190114\Backup Files 2012-02-12 190114\Backup files 2.zip//C\Users\Kristina\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\2e002d9c-4d5cd4b2//com/bitcoinplus/applet/ MiningApplet.class not-a-virus:RiskTool.Java.BitCoinMiner.b Gefunden; nicht verarbeitet 27.07.2013 15:21:55 D:\KRISTINA-PC\Backup Set 2011-09-18 190000\Backup Files 2011-09-18 190000\Backup files 1.zip//C\Users\Kristina\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\2e002d9c-4d5cd4b2//com/bitcoinplus/applet/ MiningApplet.class not-a-virus:RiskTool.Java.BitCoinMiner.b Gefunden; nicht verarbeitet 27.07.2013 15:20:42 D:\KRISTINA-PC\Backup Set 2011-03-27 212657\Backup Files 2011-07-10 221938\Backup files 1.zip//C\Users\Kristina\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\2e002d9c-4d5cd4b2//com/bitcoinplus/applet/ MiningApplet.class Typ: trojanisches Programm (2) HEUR:Exploit.Java.Generic Gefunden; nicht verarbeitet 21.07.2013 17:12:47 d:\kristina-pc\backup set 2013-07-07 190001\backup files 2013-07-07 190001\backup files 6.zip//C\Users\Kristina\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\ 1db41df9-364c60a6 HEUR:Exploit.Java.CVE-2013-2423.gen Gefunden; nicht verarbeitet 21.07.2013 13:01:03 D:\KRISTINA-PC\Backup Set 2013-07-07 190001\Backup Files 2013-07-07 190001\Backup files 5.zip//C\Users\Kristina\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\ 7905fb51-19acd65c Typ: Schwachstelle (5) Viruslist.com - Adobe Reader / Acrobat Multiple Vulnerabilities Inaktiv 21.07.2013 06:49:29 C:\Program Files (x86)\Internet Explorer\Plugins\ nppdf32.DEU Viruslist.com - Adobe Flash Player Multiple Vulnerabilities Inaktiv 21.07.2013 06:49:00 C:\Program Files (x86)\HP\Digital Imaging\help\player\ FlashPla.exe Viruslist.com - Apache HTTP Server mod_rewrite and mod_dav Vulnerabilities Inaktiv 21.07.2013 06:48:29 C:\Program Files (x86)\Elsevier\Mediscript\Hammerexamen\server\Apache\bin\ httpd.exe Viruslist.com - Apache HTTP Server mod_rewrite and mod_dav Vulnerabilities Inaktiv 21.07.2013 06:48:29 C:\Program Files (x86)\Elsevier\Mediscript\Hammerexamen\server\Apache\bin\ Apache.exe Viruslist.com - PHP XML Parsing Buffer Overflow Vulnerability Inaktiv 21.07.2013 06:48:29 C:\Program Files (x86)\Elsevier\Mediscript\Hammerexamen\server\php\ php.exe Typ: legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen (2) not-a-virus:RiskTool.Java.BitCoinMiner.b Gefunden; nicht verarbeitet 21.07.2013 13:01:09 D:\KRISTINA-PC\Backup Set 2013-07-07 190001\Backup Files 2013-07-07 190001\Backup files 6.zip//C\Users\Kristina\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\2e002d9c-4d5cd4b2//com/bitcoinplus/applet/ MiningApplet.class not-a-virus:RiskTool.Java.BitCoinMiner.b Gefunden; nicht verarbeitet 21.07.2013 12:18:29 D:\KRISTINA-PC\Backup Set 2012-09-30 190001\Backup Files 2012-09-30 190001\Backup files 4.zip//C\Users\Kristina\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\2e002d9c-4d5cd4b2//com/bitcoinplus/applet/ MiningApplet.class Malwarebytes Anti-Malware 1.75.0.1300 Malwarebytes : Free anti-malware download Datenbank Version: v2013.07.27.04 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16635 Kristina :: KRISTINA-PC [Administrator] 27.07.2013 19:17:24 mbam-log-2013-07-27 (19-17-24).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 373838 Laufzeit: 1 Stunde(n), 26 Minute(n), 50 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6920 # api_version=3.0.2 # EOSSerial=59445494c4fed94b9777e54b19f9c465 # engine=14557 # end=finished # remove_checked=true # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2013-07-28 03:54:10 # local_time=2013-07-28 05:54:10 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=5893 16776574 100 94 411807 126613500 0 0 # scanned=175331 # found=3 # cleaned=3 # scan_time=28988 sh=E3EAEEF071BCFB167C7FE461D880F4E95B4E8E7F ft=1 fh=fe123ead61403047 vn="Win32/Adware.1ClickDownload.W application (cleaned by deleting - quarantined)" ac=C fn="C:\Users\Kristina\Downloads\Zombieland.exe" sh=A5787A16E9608CFE21776B9DC89195F75DEAE640 ft=0 fh=0000000000000000 vn="Win32/Adware.1ClickDownload.W application (deleted - quarantined)" ac=C fn="D:\KRISTINA-PC\Backup Set 2013-02-17 190001\Backup Files 2013-02-17 190001\Backup files 6.zip" sh=F96ADE8D5C1C677648DB6F99B547C396387691AE ft=0 fh=0000000000000000 vn="Win32/Adware.1ClickDownload.W application (deleted - quarantined)" ac=C fn="D:\KRISTINA-PC\Backup Set 2013-07-07 190001\Backup Files 2013-07-07 190001\Backup files 7.zip" |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board
