Okay,

habe OTL und GMER laufen lassen. Die LOGs befinden sich als Archiv im Anhang.

Haben die beiden Programme Einstellungen verändert (z.B. dass die Dateiendungen nicht mehr angezeigt werden)?

Grüße!

Hallo broeps,





Schritt # 1: Beantwortung deiner Fragen

Zitat:

Zitat von broeps

Haben die beiden Programme Einstellungen verändert (z.B. dass die Dateiendungen nicht mehr angezeigt werden)?

Davon ist mir nichts bekannt. Du hast allerdings ein Rootkit im Master Boot Record, welches wir unbedingt löschen müssen. Es ist nicht auszuschließen, dass dieses einige Einstellungen verändert hat.





Schritt # 2: Registry Cleaner
Ich sehe, dass Du sogenannte Registry Cleaner am System hast.
In deinem Fall CCleaner.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.





Schritt # 3: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 4: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
ActiveX: {25GR5VDT-8704-O6OH-WVVG-4MLU6E43B7H0} - C:\Users\Niklas\AppData\Roaming\svchost.exe
MsConfig - StartUpReg: SearchSettings - hkey= - key= -  File not found

:Commands
[purity]
[resethosts]
[emptytemp]
         

• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 5: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• eine Rückmeldung bezüglich CCleaner,
• das Logfile des TDSS Killers,
• das Logfile des OTL-Fix und
• das Logfile von ComboFix.

Danke für die ausführliche Hilfe!

zu #2:
Habe den CCleaner deinstalliert.
Ich habe es einmal angewendet, da ich mal Probelme mit anderen Plagegeistern hatte und es mir empfohlen wurde. Habe aber "nur" die Registry bereinigt (und keine anderen Dinge) und habe auch vorher die Registry gesichert.

zu #3:
Habe den TDSS Killer ausgeführt.
Es kamen neben den Malicious objects auch noch Suspicious objekts. Bei denen konnte man nicht Cure auswählen. Ich habe es mal bei Skip belassen.
Ich habe einen Screenshot davon gemacht. Befindet sich ebenso wie der LOG im Anhang.

zu #4:
Habe OTL ausgeführt (mit den gleichen Einstellungen wie zuvor, noch eine Frage dazu: "Use No-Company-Name WhiteList" war nicht in eurem Screenshot vorhanden, habe es daher mal deaktiviert, war das richtig?).
LOG befindet sich im Anhang

zu #5:
Habe Combofix ausgeführt.
Es kamen aber nicht die beiden Meldungen zum Wiederherstellungspunkt! Ist trotzdem alles ok?
LOG befindet sich im Anhang.

Hallo broeps,




Schritt # 1: Beantwortung deiner Fragen

Zitat:

Zitat von broeps

zu #2:
Habe den CCleaner deinstalliert.
Ich habe es einmal angewendet, da ich mal Probelme mit anderen Plagegeistern hatte und es mir empfohlen wurde. Habe aber "nur" die Registry bereinigt (und keine anderen Dinge) und habe auch vorher die Registry gesichert.

Die mitgelieferte Funktion zum Löschen von temporären Dateien ist an sich nicht schlecht, aber von Registry Cleanern kann ich nur abraten.

Zitat:

Zitat von broeps

zu #3:
Habe den TDSS Killer ausgeführt.
Es kamen neben den Malicious objects auch noch Suspicious objekts. Bei denen konnte man nicht Cure auswählen. Ich habe es mal bei Skip belassen.
Ich habe einen Screenshot davon gemacht. Befindet sich ebenso wie der LOG im Anhang.

Bei der Datei sptd.sys handelt es sich um einen Treiber von Alcohol bzw. Daemon Tools. Du hast alles richtig gemacht. Wichtig ist, dass wir das Rootkit erledigt haben, was wir mit Schritt 3 überprüfen.

Zitat:

Zitat von broeps

zu #4:
Habe OTL ausgeführt (mit den gleichen Einstellungen wie zuvor, noch eine Frage dazu: "Use No-Company-Name WhiteList" war nicht in eurem Screenshot vorhanden, habe es daher mal deaktiviert, war das richtig?).
LOG befindet sich im Anhang

Du brauchst nichts deaktivieren bzw. aktivieren, solange ich es dir nicht sage. Für einen Fix spielt diese Einstellung keine Rolle. Die von dir genannte Einstellung bitte wieder aktivieren.

Zitat:

Zitat von broeps

zu #5:
Habe Combofix ausgeführt.
Es kamen aber nicht die beiden Meldungen zum Wiederherstellungspunkt! Ist trotzdem alles ok?
LOG befindet sich im Anhang.

Ja.





Schritt # 2: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

• Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Suchlauf durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 3: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 4: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 5: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Wirst du immer noch auf freesearchquick.com weitergeleitet? Starte Firefox und den Internet Explorer und überprüfe. Berichte bitte.
• Wie läuft dein Rechner derzeit?

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von MBAM,
• das Logfile von aswMBR,
• die beiden neuen Logfiles von OTL (OTL.txt und Extas.txt) und
• die Beantwortung der gestellten Fragen.

zu #1:
als ich OTL das erste Mal zu Scannen ausgeführt habe, habe ich auch ohne "Use No-Company-Name WhiteList" gescannt. Hoffe, dass das jetzt ok war.

zu #2:
Habe mit mbam einen Vollscan durchegführt, er hat nichts gefunden. LOG ist im Anhang.
Wie ist das mit meinen externen Festplatten? Die wurden bisher noch nicht berücksichtigt. Ich habe sie mal hier beim MBAM-Scan mit prüfen lassen.
Müssen auch noch andere Sachen mit den Externen gemacht werden?

zu #3:
Leider hängt sichaswMBR nach kurzer Zeit beim Scannen auf. Ich habe mal einen Screenshot gemacht und den angehängt.

zu #4:
Habe ich jetzt erstmal noch nicht gemacht (wegen Problem bei #4).

zu #5:
Bis jetzt wurde ich noch nicht wieder weitergeleitet.
Der Rechner läuft "normal", neben den anderen Problemen, die ich hier nicht gelöst werden konnten (Probelme beim Updaten (vermutlich wegen der Vista auf 7 Upgrade Installation mit der Student-Lizenz), Notebook wird recht heiß, seltenes Display-Flackern usw.).
Außerdem ist der Rechner in den letzten Wochen und Monaten immer langsamer geworden und ich hatte immer mal wieder Probleme mit irgendwelchen Viren, Trojaner, Malware etc.
Daher wäre es sicher ratsam, den Rechner demnächst mal (wenn ich etwas mehr Zeit habe) zu formatieren, oder was meinst du? Dazu hätte ich dann auch noch gerne ein paar Infos, wie ich den dann richtig neu aufsetze (mit meiner komischen Upgrade Lizenz) und wie ich den dann richtig und sicher einrichte.

Hallo broeps,




Schritt # 1: Beantwortung deiner Fragen

Zitat:

Zitat von broeps

zu #1:
als ich OTL das erste Mal zu Scannen ausgeführt habe, habe ich auch ohne "Use No-Company-Name WhiteList" gescannt. Hoffe, dass das jetzt ok war.

Passt.

Zitat:

Zitat von broeps

zu #2:
Habe mit mbam einen Vollscan durchegführt, er hat nichts gefunden. LOG ist im Anhang.
Wie ist das mit meinen externen Festplatten? Die wurden bisher noch nicht berücksichtigt. Ich habe sie mal hier beim MBAM-Scan mit prüfen lassen.
Müssen auch noch andere Sachen mit den Externen gemacht werden?

Wir führen später noch einen Online Scan durch. Mit dem kannst du dann noch deine externen Festplatten überprüfen. Aber ich gebe dir noch Bescheid, wenns soweit ist.

Zitat:

Zitat von broeps

zu #3:
Leider hängt sichaswMBR nach kurzer Zeit beim Scannen auf. Ich habe mal einen Screenshot gemacht und den angehängt.

Danke für den Screenshot. Es wäre interessant zu erfahren, was aswMBR da anzeigt.

Zitat:

Zitat von broeps

zu #4:
Habe ich jetzt erstmal noch nicht gemacht (wegen Problem bei #4).

Ist in Ordnung. Auch wenn aswMBR jetzt wieder nicht durchläuft, trotzdem bitte die gewünschten Logfiles erstellen.

Zitat:

Zitat von broeps

zu #5:
Bis jetzt wurde ich noch nicht wieder weitergeleitet.
Der Rechner läuft "normal", neben den anderen Problemen, die ich hier nicht gelöst werden konnten (Probelme beim Updaten (vermutlich wegen der Vista auf 7 Upgrade Installation mit der Student-Lizenz), Notebook wird recht heiß, seltenes Display-Flackern usw.).
Außerdem ist der Rechner in den letzten Wochen und Monaten immer langsamer geworden und ich hatte immer mal wieder Probleme mit irgendwelchen Viren, Trojaner, Malware etc.

Seit wann gab bzw. gibt es Probleme beim Updaten von Windows? Treten diese Probleme immer noch auf? Bitte überprüfe das.

Dass dein Notebook sehr heiß wird und das Display gelegentlich flackert, hört sich eher nach Hardwareproblemen an.

Zudem habe ich gesehen, dass du insbesondere auf Laufwerk D:\ nicht mehr gerade viel Platz hast:

Zitat:

Drive D: | 228,00 Gb Total Space | 4,26 Gb Free Space | 1,87% Space Free | Partition Type: NTFS

Kannst du da nach der Bereinigung etwas Platz schaffen? Das könnte nämlich auch ein Grund dafür sein, dass der Rechner langsamer geworden ist.

Zitat:

Zitat von broeps

Daher wäre es sicher ratsam, den Rechner demnächst mal (wenn ich etwas mehr Zeit habe) zu formatieren, oder was meinst du? Dazu hätte ich dann auch noch gerne ein paar Infos, wie ich den dann richtig neu aufsetze (mit meiner komischen Upgrade Lizenz) und wie ich den dann richtig und sicher einrichte.

Ich würde sagen, wir beenden zuerst die Bereinigung und dann sehen wir weiter.





Schritt # 2: Stoppen von Treibern mit Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Windows 7 User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.





Bitte deaktiviere deinen Virenscanner für den nächsten Schritt.
Sollte während oder gegen Ende des Scans wieder eine Fehlermeldung erscheinen, so versuche, die Fehlermeldung aus dem Fenster von aswMBR zu schieben und erstelle wieder einen Screenshot, damit ich mir die Ergebnisse ansehen kann.




Schritt # 3: aswMBR.exe ausführen

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 4: Scan mit MBRCheck
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
• Poste mir bitte den Inhalt des .txt Dokumentes.

Schritt # 5: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen,
• das Logfile von Defogger,
• das Logfile von aswMBR,
• das Logfile von MBRCheck und
• die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Bevor ich mit den neuen Schritten fortfahre, reiche ich erstmal noch den ausstehenden OTL-Scan nach (LOGs im Anhang).
Außerdem habe ich 2 Screenshots von aswMBR gemacht, kurz bevor die Fehlermeldung kam. Sind auch im Anhang.

Und schonmal zu den Fragen:
Platz kann ich momentan nicht auf D schaffen (durch meine Arbeit habe ich viele Große Dateien, die ich nicht löschen kann und meine Externen Platten sind auch erschöpft. Benötige mal eine neue große).

Das Windows-Update-Problem besteht schon sehr lange, tendenziell, seitdem ich das letzte mal formatiert habe (kann es aber nicht 100%ig sagen, da es mir nicht sofort aufgeallen ist). Das Problem besteht immer noch und wurde nicht behoben.
Das wurde auch schonmal hier angegangen, hat aber zu keiner Lösung geführt und ist dann auch etwas im Sand verlaufen (hier das Thema: http://www.trojaner-board.de/96399-s...-sp1-win7.html).
Die wahrscheinliche Ursache scheint bei meiner Windows Installation zu liegen. Ich habe Vista mit einer Student Lizenz zu 7 geupgradet. Man kann win7 nicht direkt nach einer Formatierung installieren, da es sich nur um eine Upgrade-Lizenz handel. Da es mir aber unsinnig erschien erst Vista zu installieren und dann direkt up-zu-graden, habe ich direkt 7 installiert. Ohne Lizenz (die kann man ja auch innerhalb eines Zeitraumes später eingeben). Dann habe ich das noch nicht lizensierte win7 zu win7 geupgradet und bei diesem Upgrade die Lizenz eingegeben (eigentlich unsinnig, aber nur so konnte man es registrieren). Es gibt wohl einen eleganteren Weg über die Registry (hxxp://www.heise.de/ct/artikel/Der-Upgrade-Trick-849648.html).


Sofern mit dem Screenshot und den OTL LOGs alles ok ist, führe ich dann deine weiteren Schritte aus.

Danke!