Guten Abend.

Ich habe heute von einen Kollegen ein PC zum "durchchecken" bekommen. Dabei handelt es sich um ein älteres Model mit XP Servicepack 2.

Der Rechner bootet scheinbar normal, aber nach einiger Zeit erscheint ein Fenster, Welches scheinbar mir eine Website anzeigen möchte, aber diese nicht laden kann. Ich kann dieses Programm nicht beenden. Es ist kein Button dafür da, Klammeraffe und Alt + F4 bringen absolut gar nichts. Somit hilft nur Netzstecker ziehen.

Dein Thema befindet sich in der Bearbeitung! Bitte warte auf weitere Anweisungen.

Mein Name ist Ruth und ich werde dir bei der Bereinigung deines Systems helfen.

• Bitte beachte, dass jede meiner Antworten erst durch einen Ausbilder freigegeben werden muss. Ich bitte um Verständnis für mögliche Verzögerungen. Ich bemühe mich jedoch, spätestens nach 24 Stunden zu antworten.
• Bitte befolge meine Anweisungen, bis ich dich als *clean* entlasse.
• Nicht unaufgefordert Programme installieren und deinstallieren.
• Keine Online-Geschäfte machen und überhaupt deine Online-Aktivitäten möglichst begrenzen.

Bitte warte noch bis morgen auf weitere Anweisungen.

Hallo noch mal!

Zunächst muss ich dir einen Warnhinweis zu Windows XP geben:

Wir können das System zwar von aktiver Malware befreien, aber du hast mit Windows XP ein grundsätzliches Problem. Das System wird nicht mehr unterstützt, gefundene Sicherheitslücken werden nicht mehr geschlossen.
Auch von vielen Programmen laufen darauf nur ältere Versionen.
Da kannst du absichern wie du willst, der einzige wirkliche Schutz ist: offline bleiben.
Sonst ist es so, wie wenn du ein Haustürschloss benutzt, zu dem es bekanntermaßen Nachschlüssel gibt. Da kannst du die Fenster vergittern wie du willst, und auch Riegel und Kette an der Tür machen sie nicht wirklich sicher.

Ich würde dir raten, nach der Bereinigung deine Daten zu sichern und das Betriebssystem zu wechseln.
Oder auch sofort, aber dann brauchst du zur Datensicherung ein Live-Medium, um von außerhalb des verseuchten Systems darauf zuzugreifen.

Schritt 1: Passwörter ändern
Ändere bitte von einem anderen, sauberen System aus deine wichtigen Passwörter für Online-Dienste.

Schritt 2: Combofix
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ich bekomme auf dem Infizierten PC keine Internetverbindung, habe kein Installationsdatenträger und auch keine recovery Partition.
Somit kann ComboFX nicht vernünftig arbeiten.

Mir ist bewusst das XP veraltet ist.

Hi,

Combofix an sich ist auch ohne Wiederherstellungskonsole funktionsfähig. Wähle dann bei diesem Punkt "nein" und lass es laufen.

Combofix ist fertig und es hat nichts gebracht

Da wurde aber schon eine ganze Menge an Malware gelöscht. Wir gehen systematisch vor und sind noch lange nicht fertig.

Also du kannst immer noch nicht vernünftig im normalen Modus arbeiten, weil nach einiger Zeit der Browser sich mit elner leeren Seite öffnet und das System dann "einfriert"?

Reicht diese "einige Zeit", um die FRST.exe auf den Desktop zu kopieren und ein neues FRST-Log im normalen Modus zu machen?
Wenn nicht, bitte wieder eins im abgesicherten Modus.


Schritt 1: Frisches FRST-Log

• Starte noch einmal FRST.
• Klicke auf Untersuchen.
• Die Logdatei wird nun erstellt und befindet sich danach auf deinem Desktop.
• Poste mir die FRST.txt in deinem Thread

Zeit hat gerade so gereicht

Die Logdatei ist zu groß für den upload, so das diese bei goole liegt: https://drive.google.com/file/d/0B39aLG39wSArYWVqRFJrOGZkWlE/view?usp=sharing

Hi,

Dein Datum hat sich verstellt. Das passiert, wenn die CMOS-Batterie schwach ist und man den Rechner vom Strom nimmt. Oder wenn man die Batterie rausnimmt.
(Übrigens, wenn du den Rechner schon "hart ausschalten" musst, ist es immer noch besser, lange auf ein Einschaltknopf zu drücken als den Stecker zu zienen.)

Deswegen ist das Log so groß: anstatt der neuesten Dateien zeigt er alle, die am 31.12.2002 neu oder zukünftig waren - also überhaupt alle!

Schritt 1: Datum
Stelle bitte Datum und Zeit wieder richtig ein. Das geht auch im BIOS, ohne Windows zu starten.
Beim Anschalten müsste angezeigt werden, welche Taste du drücken musst, um ins BIOS (Setup) zu kommen.
Das sieht bei jedem PC anders aus, da musst du dann ein bisschen suchen, wo Datum und Zeit sind.

Schritt 2: FRST-Fix
Mach mal folgenden Fix und teile mir mit, wie sich dein System danach verhält:
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

closeprocesses:
HKU\S-1-5-21-1390067357-926492609-682003330-1004\...\Run: [esduxsyneaokktm] => C:\WINDOWS\esduxsyn.exe [108544 2012-10-04] ()
Winsock: Catalog5 01 mswsock.dll Keine Datei  ACHTUNG: LibraryPath sollte sein "%SystemRoot%\System32\mswsock.dll"   
Winsock: Catalog5 03 mswsock.dll Keine Datei  ACHTUNG: LibraryPath sollte sein "%SystemRoot%\system32\mswsock.dll"
cmd: netsh winsock reset 
C:\WINDOWS\esduxsyn.exe
2012-10-04 16:21 - 2012-10-04 16:21 - 0076341 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ebbvwssaiukmmgb
2012-10-04 16:21 - 2012-10-04 16:21 - 0108544 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\esduxsyn.exe
2013-02-18 16:23 - 2013-02-18 16:23 - 0000096 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\soohngukwxqemih
C:\Dokumente und Einstellungen\Marko\0.9754362876761156.exe
emptytemp:
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 3: Frische FRST-Logs
(hoffentlich kürzer...)

• Starte noch einmal FRST.
• Setze einen Haken bei "Addition.txt" und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und die Addition.txt in deinem Thread.

PC läuft deutlich besser!
Allerdings ist die CPU komisch drauf:im Ruhemodus normal, wenn ich in einem Dokument (egal ob PDF oder Word) scrolle, kommt es zu Rucklern auf dem Bildschirm und die CPU ist bei 100%. Kann aber auch an fehlenden Grafikkartentreiber liegen.

Ein "einfrieren" konnte ich nicht mehr beobachten.

Hi,
ganz glatt wird ein zwölf Jahre altes System wohl auch in sauberem Zustand nicht mehr laufen.

Unser Fix war schon mal ein Fortschritt.

Schritt 1: Unerwünschte Programme deinstallieren
Versuche bitte folgendes normal über die Systemsteuerung zu deinstallieren, wenn du keine speziellen Gründe hast, es zu behalten:

ICQ Toolbar


Versuche bitte folgende Firefox-Erweiterung zu deinstallieren, wenn du keine speziellen Gründe hast, sie zu behalten:

AdVantage


Egal ob es funktioniert hat oder nicht, mach mit den nächsten Schritten weiter:


Schritt 2: Scan mit Malwarebytes
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3: Scan mit Adware Ceaner
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Werkzeuge > Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel
  • "Prefetch" Dateien
  • Proxy
  • Winsock
  • Internet Explorer Richtlinien
  • Chrome Richtlinien
• Bestätige die Auswahl mit Ok.
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 4: frische FRST-Logs

• Starte noch einmal FRST.
• Setze einen Haken bei "Addition.txt" und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und die Addition.txt in deinem Thread.

Hi,

ich hab schon länger keine Antwort mehr von Dir erhalten. Brauchst Du noch Hilfe?

Hinweis: Sollte ich die nächsten 24h keine Nachricht von Dir bekommen, lösche ich das Thema aus meinen Abos und werde daher über Änderungen oder Beiträge nicht weiter informiert. Wenn Du weitermachen möchtest, schreib mir dann einfach eine PM.

:

Zitat:

https://drive.google.com/drive/folde...0ZVUVg2SzR5MkU

Dankeschön. Ist ja nicht schlimm, dass du mal abwesend warst. Updates macht man allerdings besser nach Abschluss einer Bereinigung.

Bitte noch einen Kontrollscan:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset