Virus cleansweep.exe nicht komplett entfernt?
 

Hallo,

ich habe seit einigen Tagen ein paar Probleme mit meinem Laptop. Zunächst bemerkte mein Avira Antivir ein paar Schädlinge auf meinem Rechner, die ich dann mit Avira und Malwarebytes von meinem Rechner entfernt habe. Dabei handelte es sich auf jeden Fall u.a um eine cleansweep.exe.

Bei weiteren Scans haben alle Programme meinen Rechner danach als sauber ausgegeben. Das Problem ist, dass der Rechner noch nicht sauber sein konnte. Ich wurde immer noch ganz plötzlich auf Seiten weitergeleitet, von denen ich noch nie was gehört habe und die McAfee als bedenklich und verseucht einstufte. Des Weiteren stürzte in unregelmäßigen Abständen mein Laptop ab.

Da mir das alles zu bunt wurde und ich auch Bankgeschäfte über den Laptop abwickele, habe ich mich kurzerhand dazu entschlossen, alle wichtigen Daten zu sichern und den Laptop (Acer) wieder in den Werkszustand zurückzuversetzen. Dabei sind dann natürlich alle Daten auf c: gelöscht worden.

Nun aber der Schock: Habe immer noch genau die selben Probleme. Werde auf unerwünschte Seiten weitergeleitet und der Computer stürzt regelmäßig ab. Scans mit Avira, Malwarebyte und McAfee haben keine Schädlinge gefunden. Achso, eins noch. Eine weitere Fehlermeldung ist die, dass "der Hostprozess von Windwos beendet wurde", was auch immer das heisst. Kann dann aber trotzdem immer ganz normal weiter am Laptop arbeiten. Kenne mich mit diesem ganzen Thema ohnehin nicht so gut aus und bin mit meinem Latein nun wirklich am Ende.

Kann mir hier irgendwer helfen? Das wäre super. Habe mal das HiJackThis Logfile angehängt.

HiJackthis Logfile:
--- --- ---

Bitte alle Logs posten!

Die alten Logs, in denen die Schädlinge aufgelistet wurden kann ich leider nicht mehr präsentieren. Habe den Laptop ja wieder in den Werkszustand zurückversetzt. Dabei wurde dann c: komplett formatiert und somit sind auch diese Logfiles weg. Ich war einfach so naiv anzunehmen, dass ich damit das Problem auf jeden Fall behoben habe und die Logfiles nicht mehr benötige. Wieder was fürs Leben gelernt...

Habe jetzt trotzdem nochmal einen Vollscan von Malwarebytes durchgeführt und hier angehängt. Keine Ahnung, ob das jetzt noch weiterhilft, finden tut er leider nichts.

Gibt es denn noch weitere Möglichkeiten, um meinen Laptop gründlich zu untersuchen? Irgendwas ist da ja noch drauf.

Wenn du recovert hast, gibt es eh keinen grundmehr zur Analyse. Dann hast du quasi neu aufgesetzt. Dann sind auch alle Schädlinge aus der alten Installation garantiert weg.

Das habe ich bislang auch immer gedacht. Hab bei meinem Acer, über die Recovery Partition PQSERVICE, c: geplättet und Vista komplett neu aufgespielt, aber ich habe trotzdem noch die gleichen Symptome wie vorher - unerwünschte, verseuchte Seiten poppen auf, Computer stürzt in unregelmäßigen Abständen ab. Sehr dubios.

Da ich doch einige Bankgeschäfte über den Laptop abwickele, werde ich mir wohl sicherheitshalber einen neuen Rechner kaufen müssen.

Du hast nicht zufällig einen Router? Bei dem das Standardpasswort, um den Router per Browser zu administrieren, NIE geändert wurde? :pfeiff:

Doch, ugh? Genau das ist der Fall.

Sagt mir jetzt aber erst einmal nicht so viel. Was soll ich machen?

Router komplett resetten, also zurück auf Werkeinstellungen. Danach musst du ihn wieder die Zugangsdaten mitgeben. Das erste aber was du nach dem Reset machst: Passwort des Routers ändern!!!

So, habe alles erledigt. Muss ich sonst noch irgend etwas beachten?

Melde mich dann später nochmal, ob das Problem wirklich behoben ist.

Auf alle Fälle schon einmal vielen Dank bis hierhin an dich, cosinus. Super Service.

Mist, leider poppen immer noch regelmäßig unerwünschte Seiten auf (vor alllen Dingen nach der Suche über Google). Kann ich sonst noch irgendwas machen?

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo, danke für den Tipp mit OTL. Anbei die beiden Logfiles.

Ist rel. unauffällig. Führ mal CF aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Urgs, Combofix hat ziemlich lange gebraucht und hat zwischendurch auch Rootkitaktivitäten festgestellt. Kackdreck. Wie gehts für mich jetzt weiter? Rootkits sind doch sehr hartnäckig, oder?

Witzig. Du hast recovert und trotzdem ist das Bootkit noch drauf. Eigentlich sollte beim Recovern auch der MBR neu geschrieben werden aber macht dein PC-Hersteller wohl nicht :stirn:
ODER du hast danach wieder Dreck ausgeführt :pfeiff:


Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Ok, hier also die Logs von GMER, OSAM und MBRCheck:

Hast Du noch andere Betriebssysteme außer Vista installiert?

Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten).

Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Vista-DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen.

So, hab gerade die Computerreparation über Vista durchgeführt.

Ist das ok und richtig so gewesen, dass ich das Fenster der Eingabeaufforderung nach Eingabe von bootrec.exe/fixboot und bootrec.exe/fixmbr einfach geschlossen habe? Direkt nach der Eingabe wurde mir in der Zeile darunter zumindest in beiden Fällen der Erfolg der Eingabe bestätigt.

Sollte ich jetzt einfach wieder etwas warten, ob die unerwünschten Seiten/Computerabtürze weiter auftauchen, oder gibt es noch eine andere Möglichkeit, wie man es überprüfen kann?

Trotzdem noch einmal vielen Dank für die vielen Mühen und Ideen bis hierhin. Ist sicher nicht selbstverständlich. :daumenhoc

Mach bitte ein neues Log mit mbrcheck ;)

Muss ich GMER und OSAM vorher auch noch einmal drüberlaufen lassen, bevor ich das Log beim MBRCheck erstellen kann?

Falls nicht, voilá.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

So, Stunden später sind die scans dann auch durch. Hab bislang auch keine Probleme mehr gehabt. Computer stürzt nicht mehr ab und die unerwünschten Seiten poppen auch nicht mehr auf.

Ich hoffe mal die Logfiles sind soweit auch ok?

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Nein, keine weiteren Probleme mehr. Läuft alles einwandfrei.

Abschließend noch einmal recht herzlichen Dank für die schnelle und professionelle Hilfe. Werde euch gerne weiter empfehlen.

:dankeschoen:

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.