Trojaner, Malware, Gefälschte Windows 7 Version
 

Hallo alle zusammen,

ich habe einen 5 Jahre alten Medion Laptop und seit ca. einer Woche keinen Zugriff auf den Rechner. Ich vermute, dass ich mir einen Trojaner eingefangen habe, da meine Antivirenprogramm (Hitman Pro Surfright) vor einiger Zeit bereits drei Spuren entdeckt hat, die aber beim Neustart nicht gelöscht wurden, wie vom Programm angekündigt.
Windows wird gestartet und der Desktop erscheint, aber ich habe keinen Zugriff auf das Internet und andere Programme. Die Grafik sieht unsauber aus und diverse Verknüpfungen sind weg und es wird angezeigt, dass ich mit einer gefälschten Windows 7 Version arbeite. Den Laptop habe ich neu gekauft, der bereits mit einer vorinstallierten legalen Windows 7 Version versehen war.

Würde mich freuen, wenn mir einer von helfen könnte oder bzw. einen Tipp geben kann. Ich kann derzeit nur über meinen Bürorechner kommunizieren bzw. runterladen etc..

Besten Grüße

Don Martino

:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
• Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort als Administrator zu starten!

Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:

Danke für deine Mitarbeit!







Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Hallo Matthias, danke für die schnelle Antowrt!!! Ich werde gleich morgen mit deinen Anweisungen beginnen und alles weitere was nötig ist mitteilen.

Besten Grüße
M

Hallo Matthias,

hier das erste Logfile.
Vielen Dank für die Hilfe!


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Servus,



jetzt machen wir einen Fix mit FRST im Reparaturmodus:




Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!

Hallo M-K-D-B,
sorry, aber ich kann erst jetzt antworten, weil ich am WE auf Reisen war und den Laptop im Büro und keine andere Möglichkeit mit einem Rechner einen Internetzugang zu haben, um die nötigen Anweisungen durchzuführen. Es ist mir immer nur möglich dienstags, donnerstags und freitags zu antworten, deswegen bitte ich um Verständnis für die zeitlichen Verzögerungen!!!

Würde mich freuen, wenn wir die Bereinigung weiterfortsetzen und das Ding gelöst bekommen. LG Don Martino

Servus,

ok.

führe die Anleitung von meinem letzten Post im Reparaturmodus aus und poste die Logdatei.

Hallo M-K-D-B!

Ich kann leider erst morgen wieder an meinen Laptop.
Dann führe ich alles aus und poste das logfile.

Danke!!!

Don Martino

Servus,


ok, dann bis morgen.

Dann machen wir weiter, sobald ich die Logdatei habe.

Hallo M-K-D-B,

habe jetzt den Vorgang so durchgeführt, wie oben angewiesen!!!
Ich hoffe, dass ich alles soweit richtig durchgeführt habe und du kannst mit dem Inhalt etwas anfangen.

Kann definitiv morgen den nächsten Schritt ausführen.

LG M

Servus,



nein, hast du nicht richtig gemacht.


Wir machen erst mal das hier im normalen Modus:





bei Schritt 1 beachten:
Chrome Richtlinien zurücksetzen NICHT auswählen

Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 4

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von MBAM,
• die Logdatei von JRT,
• die beiden neuen Logdateien von FRST.

Hallo!

Großes Problem!
Ich habe beide Programme runtergeladen und auf dem USB-Stick gespeichert, weil ich ja auf dem Laptop kein Internet mehr habe.
Ich habe die Programme (malwarebites und adwcleaner) auf den Laptop gezogen aber kann sie von dort nicht starten (Fehlermeldung: "adwcleaner konnte nicht gefunden werden" bzw. bei malwarebites: "shellexecuteEx schlug fehl: Code 2. Das System kann die angegebene Datei nicht finden".

Vielleicht starten die Programme im Repair-Modus? FRST per Eingabeaufforderung ging auch.

LG,

Don Martino

Servus,


versuche die beiden Programme im abgesicherten Modus.

Hallo,

beim zweiten Schritt mit Malware schaltet sich der Laptop beim Scannvorgang von alleine ab!!! Gib es eine Möglichkeit einen Befehl oder Anwendung vorher bei Anti-Malware zu wählen, so dass ich bis zum Protokoll komme, um den Scanninhalt und die Funde zu posten?!

LG M

Ich kann leider erst wieder kommenden Dienstag Anweisungen ausführen, bitte nicht wundern, aber ich bleibe dran und möchte das gerne gelöst bekommen!!!

Schönes WE und danke noch mal für den Support

Besten Grüße

M

Servus,



führe zuerst rKill im abgesicherten Modus aus und dann (ohne Neustart, etc.) gleich darauf nochmal MBAM:


Bitte lade dir rKill von Grinler auf deinen Desktop von einem der folgenden Links: RKill oder http://www.trojaner-board.de/85629-rkill-download.html

• Starte nun das Programm durch einen Doppelklick.
• Wenn sich jetzt kein schwarzes Fenster öffnet, dann versuche einen der anderen Downloadlinks.
• Das Tool wird jetzt einige Minuten lang laufen und verschiedene Einstellungen prüfen und neu setzen.
• Nach dem Ende der Abarbeitung öffnet sich automatisch die Logdatei rkill.txt.
• Bitte poste sie in deinen Thread in CODE-Tags (Anleitung).

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!

Hallo M-K-D-B,

so, habe alle Anweisungen ausgeführt und die Logdatein gepostet.

Mit rkill ging dann der Scan mit Anti-Malware und die Funde wurden gelöscht.

Hoffe, dass ich alles soweit richtig ausgeführt habe und du den Inhalt verarbeiten kannst.

Warte auf deine Antwort und Auswertung.

Besten Grüße
Don Martino

Servus,


welche Funde wurden denn mit MBAM entfernt? Du hast mir ja nur eine leere Logdatei gepostet... ?!?
Bitte die Logdatei mit den Funden posten! :)




Wir spüren noch die letzten Reste auf, damit wir sie später entfernen können:



Lade dir die passende Version von SystemLook vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit) | SystemLook (64 bit)

• Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  

  Code:

  ---

  :regfind
Web Assistant
daugava
incredibar
Cawlez

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auch auf dem Desktop als SystemLook.txt gespeichert.

Hallo,

ja, habe auch gesehen, dass das letzte Protokoll von Anti-Malware keine Funde bzw. Spuren angezeigt hat, obwohl der Scan 16 Funde angezeigt hat, die ich dann gelöscht habe.
Bei der letzten Anweisung mit Systemlook, geht der Laptop beim Scanvorgang mit "Look" wieder nach kurzer Zeit von alleine aus, so dass dieser Vorgang nicht abgeschlossen wird.

LG M

Servus,

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in die Zeile:
  
  Code:

  ---

  Web Assistant;daugava;incredibar;Cawlez;

  ---

• Drücke auf Registry-Suche.
• FRST beginnt mit dem Suchlauf. Dies kann einige Zeit dauern.
• Am Ende erstellt FRST eine Textdatei Search.txt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Hallo M-K-D-B,

hoffe du kannst Inhalt verarbeiten und ich habe alles richtig gemacht!!!
Sorry, dass wir leider zeitverzögert mit einander kommunizieren, geht leider aus beruflichen Gründen nicht anders.

Besten Grüße
DM

Servus,


schon in Ordnung. Ich bin froh, dass du bis zum Schluss mitmachst. :)



wir entfernen die letzten Reste und kontrollieren nochmal alles. :)



Hinweis: Der Suchlauf mit ESET kann länger dauern.



Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.






Schritt 4

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?







Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix,
• die Logdatei von ESET,
• die Logdatei von SecurityCheck,
• die beiden neuen Logdateien von FRST,
• die Beantwortung der gestellten Fragen.

Hallo M-K-D-B,

ich konnte die Ausführung mit ESET Online Scanner nicht ausführen auf dem Laptop, weil ich wahrscheinlich kein Internetzugang für den Rechner habe. Ich arbeite die ganze Zeit mit einem Stick und steck den hin un her. Es ist mir leider untersagt in der Firma meinen privaten Laptop über das Firmeninternet anzuschließen. Also ESET klappt nicht, brauche eine neuen Anweisungsschritt. Ich kann leider erst wieder nächsten Donnerstag am 17.03.16 in das Problemgeschehen eingreifen und weitere Anweisungen ausführen, bin auf einer Dienstreise und kann nicht früher weitermachen, ich hoffe du verstehst das!!!
Vielen Dank noch mal für deine Bemühungen und deine professionellen Support, hoffe wir kriegen das Final hin.

Besten Grüße und bis Donnerstag.

Don Martino

Servus,


lass mal ESET weg und mach mit den anderen Schritten weiter und poste die Logdateien.

Servus,


dann noch die beiden Logdateien von FRST bitte. :)

Servus,



Microsoft Security Essentials neu installieren.


danach Rechner neu starten.



Dann FSS:
Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hallo M-K-D-B,

ich habe Microsoft Security Essentials heruntergeladen und im normalen Modus auf den Desktop gezogen, weil es im abgesicherten Modus nicht ging, aber es funktioniert nicht und es kommt die Fehlermeldung "msinstall.exe konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen richtig eingegeben haben und wiederholen Sie den Vorgang"!!!

Des Weiteren kann ich leider Farbar Service Scanner nicht herunterladen, weil mir meine Internetverbindung dies untersagt und die Seite als "Gesperrte bösartige Website" einstuft.

Auf in die nächste Runde, keine Ahnung mehr, vielleicht sollte ich den Rechner platt machen und ein neues Windows 7 raufspielen, ist doch alles komplizierter als ich dachte.

Vielen Dank für deinen Support, ich bleibe dran!!!

LG DM

Servus,


vielleicht wäre eine Neuinstallation wohl doch schneller.

Sichere alle privaten Daten und führe eine Neuinstallation durch.

Hallo M-K-D-B,

ich war einderhalb Wochen häftig krank und hatte den Rechner im Büro!!! Danke für deine Hilfe und deinen prof. Support. Ich werden dann wahrscheinlich ein neue Windows 7 Installation durchführen, weil das vielleicht wirklich die beste Variante ist, um endlich wieder den Laptop benutzen zu können. Falls du noch eine Idee hast, bin ich für jede Anregung dankbar. Besten Gürße und nochmals vielen Dank. LG Martino