Danke für die ausführliche Hilfe!

zu #2:
Habe den CCleaner deinstalliert.
Ich habe es einmal angewendet, da ich mal Probelme mit anderen Plagegeistern hatte und es mir empfohlen wurde. Habe aber "nur" die Registry bereinigt (und keine anderen Dinge) und habe auch vorher die Registry gesichert.

zu #3:
Habe den TDSS Killer ausgeführt.
Es kamen neben den Malicious objects auch noch Suspicious objekts. Bei denen konnte man nicht Cure auswählen. Ich habe es mal bei Skip belassen.
Ich habe einen Screenshot davon gemacht. Befindet sich ebenso wie der LOG im Anhang.

zu #4:
Habe OTL ausgeführt (mit den gleichen Einstellungen wie zuvor, noch eine Frage dazu: "Use No-Company-Name WhiteList" war nicht in eurem Screenshot vorhanden, habe es daher mal deaktiviert, war das richtig?).
LOG befindet sich im Anhang

zu #5:
Habe Combofix ausgeführt.
Es kamen aber nicht die beiden Meldungen zum Wiederherstellungspunkt! Ist trotzdem alles ok?
LOG befindet sich im Anhang.

Hallo broeps,




Schritt # 1: Beantwortung deiner Fragen

Zitat:

Zitat von broeps

zu #2:
Habe den CCleaner deinstalliert.
Ich habe es einmal angewendet, da ich mal Probelme mit anderen Plagegeistern hatte und es mir empfohlen wurde. Habe aber "nur" die Registry bereinigt (und keine anderen Dinge) und habe auch vorher die Registry gesichert.

Die mitgelieferte Funktion zum Löschen von temporären Dateien ist an sich nicht schlecht, aber von Registry Cleanern kann ich nur abraten.

Zitat:

Zitat von broeps

zu #3:
Habe den TDSS Killer ausgeführt.
Es kamen neben den Malicious objects auch noch Suspicious objekts. Bei denen konnte man nicht Cure auswählen. Ich habe es mal bei Skip belassen.
Ich habe einen Screenshot davon gemacht. Befindet sich ebenso wie der LOG im Anhang.

Bei der Datei sptd.sys handelt es sich um einen Treiber von Alcohol bzw. Daemon Tools. Du hast alles richtig gemacht. Wichtig ist, dass wir das Rootkit erledigt haben, was wir mit Schritt 3 überprüfen.

Zitat:

Zitat von broeps

zu #4:
Habe OTL ausgeführt (mit den gleichen Einstellungen wie zuvor, noch eine Frage dazu: "Use No-Company-Name WhiteList" war nicht in eurem Screenshot vorhanden, habe es daher mal deaktiviert, war das richtig?).
LOG befindet sich im Anhang

Du brauchst nichts deaktivieren bzw. aktivieren, solange ich es dir nicht sage. Für einen Fix spielt diese Einstellung keine Rolle. Die von dir genannte Einstellung bitte wieder aktivieren.

Zitat:

Zitat von broeps

zu #5:
Habe Combofix ausgeführt.
Es kamen aber nicht die beiden Meldungen zum Wiederherstellungspunkt! Ist trotzdem alles ok?
LOG befindet sich im Anhang.

Ja.





Schritt # 2: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

• Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Suchlauf durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 3: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 4: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 5: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Wirst du immer noch auf freesearchquick.com weitergeleitet? Starte Firefox und den Internet Explorer und überprüfe. Berichte bitte.
• Wie läuft dein Rechner derzeit?

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von MBAM,
• das Logfile von aswMBR,
• die beiden neuen Logfiles von OTL (OTL.txt und Extas.txt) und
• die Beantwortung der gestellten Fragen.

zu #1:
als ich OTL das erste Mal zu Scannen ausgeführt habe, habe ich auch ohne "Use No-Company-Name WhiteList" gescannt. Hoffe, dass das jetzt ok war.

zu #2:
Habe mit mbam einen Vollscan durchegführt, er hat nichts gefunden. LOG ist im Anhang.
Wie ist das mit meinen externen Festplatten? Die wurden bisher noch nicht berücksichtigt. Ich habe sie mal hier beim MBAM-Scan mit prüfen lassen.
Müssen auch noch andere Sachen mit den Externen gemacht werden?

zu #3:
Leider hängt sichaswMBR nach kurzer Zeit beim Scannen auf. Ich habe mal einen Screenshot gemacht und den angehängt.

zu #4:
Habe ich jetzt erstmal noch nicht gemacht (wegen Problem bei #4).

zu #5:
Bis jetzt wurde ich noch nicht wieder weitergeleitet.
Der Rechner läuft "normal", neben den anderen Problemen, die ich hier nicht gelöst werden konnten (Probelme beim Updaten (vermutlich wegen der Vista auf 7 Upgrade Installation mit der Student-Lizenz), Notebook wird recht heiß, seltenes Display-Flackern usw.).
Außerdem ist der Rechner in den letzten Wochen und Monaten immer langsamer geworden und ich hatte immer mal wieder Probleme mit irgendwelchen Viren, Trojaner, Malware etc.
Daher wäre es sicher ratsam, den Rechner demnächst mal (wenn ich etwas mehr Zeit habe) zu formatieren, oder was meinst du? Dazu hätte ich dann auch noch gerne ein paar Infos, wie ich den dann richtig neu aufsetze (mit meiner komischen Upgrade Lizenz) und wie ich den dann richtig und sicher einrichte.

Hallo broeps,




Schritt # 1: Beantwortung deiner Fragen

Zitat:

Zitat von broeps

zu #1:
als ich OTL das erste Mal zu Scannen ausgeführt habe, habe ich auch ohne "Use No-Company-Name WhiteList" gescannt. Hoffe, dass das jetzt ok war.

Passt.

Zitat:

Zitat von broeps

zu #2:
Habe mit mbam einen Vollscan durchegführt, er hat nichts gefunden. LOG ist im Anhang.
Wie ist das mit meinen externen Festplatten? Die wurden bisher noch nicht berücksichtigt. Ich habe sie mal hier beim MBAM-Scan mit prüfen lassen.
Müssen auch noch andere Sachen mit den Externen gemacht werden?

Wir führen später noch einen Online Scan durch. Mit dem kannst du dann noch deine externen Festplatten überprüfen. Aber ich gebe dir noch Bescheid, wenns soweit ist.

Zitat:

Zitat von broeps

zu #3:
Leider hängt sichaswMBR nach kurzer Zeit beim Scannen auf. Ich habe mal einen Screenshot gemacht und den angehängt.

Danke für den Screenshot. Es wäre interessant zu erfahren, was aswMBR da anzeigt.

Zitat:

Zitat von broeps

zu #4:
Habe ich jetzt erstmal noch nicht gemacht (wegen Problem bei #4).

Ist in Ordnung. Auch wenn aswMBR jetzt wieder nicht durchläuft, trotzdem bitte die gewünschten Logfiles erstellen.

Zitat:

Zitat von broeps

zu #5:
Bis jetzt wurde ich noch nicht wieder weitergeleitet.
Der Rechner läuft "normal", neben den anderen Problemen, die ich hier nicht gelöst werden konnten (Probelme beim Updaten (vermutlich wegen der Vista auf 7 Upgrade Installation mit der Student-Lizenz), Notebook wird recht heiß, seltenes Display-Flackern usw.).
Außerdem ist der Rechner in den letzten Wochen und Monaten immer langsamer geworden und ich hatte immer mal wieder Probleme mit irgendwelchen Viren, Trojaner, Malware etc.

Seit wann gab bzw. gibt es Probleme beim Updaten von Windows? Treten diese Probleme immer noch auf? Bitte überprüfe das.

Dass dein Notebook sehr heiß wird und das Display gelegentlich flackert, hört sich eher nach Hardwareproblemen an.

Zudem habe ich gesehen, dass du insbesondere auf Laufwerk D:\ nicht mehr gerade viel Platz hast:

Zitat:

Drive D: | 228,00 Gb Total Space | 4,26 Gb Free Space | 1,87% Space Free | Partition Type: NTFS

Kannst du da nach der Bereinigung etwas Platz schaffen? Das könnte nämlich auch ein Grund dafür sein, dass der Rechner langsamer geworden ist.

Zitat:

Zitat von broeps

Daher wäre es sicher ratsam, den Rechner demnächst mal (wenn ich etwas mehr Zeit habe) zu formatieren, oder was meinst du? Dazu hätte ich dann auch noch gerne ein paar Infos, wie ich den dann richtig neu aufsetze (mit meiner komischen Upgrade Lizenz) und wie ich den dann richtig und sicher einrichte.

Ich würde sagen, wir beenden zuerst die Bereinigung und dann sehen wir weiter.





Schritt # 2: Stoppen von Treibern mit Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Windows 7 User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.





Bitte deaktiviere deinen Virenscanner für den nächsten Schritt.
Sollte während oder gegen Ende des Scans wieder eine Fehlermeldung erscheinen, so versuche, die Fehlermeldung aus dem Fenster von aswMBR zu schieben und erstelle wieder einen Screenshot, damit ich mir die Ergebnisse ansehen kann.




Schritt # 3: aswMBR.exe ausführen

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 4: Scan mit MBRCheck
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
• Poste mir bitte den Inhalt des .txt Dokumentes.

Schritt # 5: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen,
• das Logfile von Defogger,
• das Logfile von aswMBR,
• das Logfile von MBRCheck und
• die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Bevor ich mit den neuen Schritten fortfahre, reiche ich erstmal noch den ausstehenden OTL-Scan nach (LOGs im Anhang).
Außerdem habe ich 2 Screenshots von aswMBR gemacht, kurz bevor die Fehlermeldung kam. Sind auch im Anhang.

Und schonmal zu den Fragen:
Platz kann ich momentan nicht auf D schaffen (durch meine Arbeit habe ich viele Große Dateien, die ich nicht löschen kann und meine Externen Platten sind auch erschöpft. Benötige mal eine neue große).

Das Windows-Update-Problem besteht schon sehr lange, tendenziell, seitdem ich das letzte mal formatiert habe (kann es aber nicht 100%ig sagen, da es mir nicht sofort aufgeallen ist). Das Problem besteht immer noch und wurde nicht behoben.
Das wurde auch schonmal hier angegangen, hat aber zu keiner Lösung geführt und ist dann auch etwas im Sand verlaufen (hier das Thema: http://www.trojaner-board.de/96399-s...-sp1-win7.html).
Die wahrscheinliche Ursache scheint bei meiner Windows Installation zu liegen. Ich habe Vista mit einer Student Lizenz zu 7 geupgradet. Man kann win7 nicht direkt nach einer Formatierung installieren, da es sich nur um eine Upgrade-Lizenz handel. Da es mir aber unsinnig erschien erst Vista zu installieren und dann direkt up-zu-graden, habe ich direkt 7 installiert. Ohne Lizenz (die kann man ja auch innerhalb eines Zeitraumes später eingeben). Dann habe ich das noch nicht lizensierte win7 zu win7 geupgradet und bei diesem Upgrade die Lizenz eingegeben (eigentlich unsinnig, aber nur so konnte man es registrieren). Es gibt wohl einen eleganteren Weg über die Registry (hxxp://www.heise.de/ct/artikel/Der-Upgrade-Trick-849648.html).


Sofern mit dem Screenshot und den OTL LOGs alles ok ist, führe ich dann deine weiteren Schritte aus.

Danke!

Hallo broeps,

Zitat:

Zitat von broeps

Sofern mit dem Screenshot und den OTL LOGs alles ok ist, führe ich dann deine weiteren Schritte aus.

Der Master Boot Record ist laut aswMBR wieder in Ordnung, das TDSS Rootkit konnten wir entfernen.
Die Anleitungen meines letzten Posts brauchst du nicht weiter beachten. Die Vorgehensweise hat sich wie folgt geändert:






Schritt # 1: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

:files
C:\Users\Niklas\AppData\Roaming\svchost.exe

:Commands
[emptytemp]
         

• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 2: Java deinstallieren/neu installieren

• Schließe alle Internet Browser.
• Folge dem Pfad: Start -> Systemsteuerung -> Programme deinstallieren
• Deinstalliere bitte Java(TM) 6 Update 18
• Lade dir anschließend Java(TM) 6 Update 25 von hier auf deinen Desktop.
• Installiere anschließend die neue Version mit Rechtsklick -> Als Administrator ausführen

Schritt # 3: ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code: Alles auswählenAufklappen

ATTFilter

"%ProgramFiles%\Eset\Eset Online Scanner\log.txt"
         

Poste nun den Inhalt der log.txt.





Schritt # 4: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
• Poste den Inhalt bitte hier.

Schritt # 5: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Erscheint eine Fehlermeldung, wenn du versuchst, Windows Updates manuell herunterzuladen? Wenn ja, welche?
• Was passiert, wenn du mit dem Internet Explorer auf die Microsoft-Update-Seite gehst? Bitte berichte.
• Gibt es neben den Windows Updates und den bereits genannten Probleme noch aktuelle Schwierigkeiten mit Malware?

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des OTL-Fix,
• das Logfile des ESET Online Scanners,
• das Logfile von SecurityCheck und
• die Beantwortung der gestellten Fragen.

Habe die Programme ausgeführt, die 3 LOGs sind im Anhang.

zu den Fragen:

Wenn ich das SP1 runterlade und öffne kommt die Fehlermeldung, dass ich nicht genügend Systemressoucren hätte (siehe Screenshot im Anhang).

Diese Seite öffnet sich genau wie im Firefox (siehe Screenshot). War der Link auch richtig?

Sonst gibts es eigentlich aktuell keine Malwareprobleme, von denen ich wüsste.

Naja, so halb. Lizenztechnisch habe ich eine auf 7 upgegradetes Vista, aber praktisch habe ich 7 auf 7 upgegradet :-) :

Zitat:

Zitat von broeps

Ich habe Vista mit einer Student Lizenz zu 7 geupgradet. Man kann win7 nicht direkt nach einer Formatierung installieren, da es sich nur um eine Upgrade-Lizenz handel. Da es mir aber unsinnig erschien erst Vista zu installieren und dann direkt up-zu-graden, habe ich direkt 7 installiert. Ohne Lizenz (die kann man ja auch innerhalb eines Zeitraumes später eingeben). Dann habe ich das noch nicht lizensierte win7 zu win7 geupgradet und bei diesem Upgrade die Lizenz eingegeben (eigentlich unsinnig, aber nur so konnte man es registrieren). Es gibt wohl einen eleganteren Weg über die Registry (hxxp://www.heise.de/ct/artikel/Der-Upgrade-Trick-849648.html).