Hallo,

ein hier wohl bekanntes Problem:
Ich werde gelegentlich automatisch auf Seiten wie freesearchquick.com weitergeleitet.
Malwarebytes und Antivir finden aber nichts.

Was kann ich tun?

Danke!!!

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
• Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Bitte lies dir folgende Themen sorgfältig durch:

• Bitte keine HijackThis Logfiles posten
  und
• Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Erstelle anschließend die gewünschten Logfiles von OTL und GMER. Ohne die entsprechenden Logfiles kann und wird dir hier niemand helfen.

Vielen Dank für dein Verständnis.

Okay,

habe OTL und GMER laufen lassen. Die LOGs befinden sich als Archiv im Anhang.

Haben die beiden Programme Einstellungen verändert (z.B. dass die Dateiendungen nicht mehr angezeigt werden)?

Grüße!

Hallo broeps,





Schritt # 1: Beantwortung deiner Fragen

Zitat:

Zitat von broeps

Haben die beiden Programme Einstellungen verändert (z.B. dass die Dateiendungen nicht mehr angezeigt werden)?

Davon ist mir nichts bekannt. Du hast allerdings ein Rootkit im Master Boot Record, welches wir unbedingt löschen müssen. Es ist nicht auszuschließen, dass dieses einige Einstellungen verändert hat.





Schritt # 2: Registry Cleaner
Ich sehe, dass Du sogenannte Registry Cleaner am System hast.
In deinem Fall CCleaner.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.





Schritt # 3: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 4: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
ActiveX: {25GR5VDT-8704-O6OH-WVVG-4MLU6E43B7H0} - C:\Users\Niklas\AppData\Roaming\svchost.exe
MsConfig - StartUpReg: SearchSettings - hkey= - key= -  File not found

:Commands
[purity]
[resethosts]
[emptytemp]
         

• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 5: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• eine Rückmeldung bezüglich CCleaner,
• das Logfile des TDSS Killers,
• das Logfile des OTL-Fix und
• das Logfile von ComboFix.

Danke für die ausführliche Hilfe!

zu #2:
Habe den CCleaner deinstalliert.
Ich habe es einmal angewendet, da ich mal Probelme mit anderen Plagegeistern hatte und es mir empfohlen wurde. Habe aber "nur" die Registry bereinigt (und keine anderen Dinge) und habe auch vorher die Registry gesichert.

zu #3:
Habe den TDSS Killer ausgeführt.
Es kamen neben den Malicious objects auch noch Suspicious objekts. Bei denen konnte man nicht Cure auswählen. Ich habe es mal bei Skip belassen.
Ich habe einen Screenshot davon gemacht. Befindet sich ebenso wie der LOG im Anhang.

zu #4:
Habe OTL ausgeführt (mit den gleichen Einstellungen wie zuvor, noch eine Frage dazu: "Use No-Company-Name WhiteList" war nicht in eurem Screenshot vorhanden, habe es daher mal deaktiviert, war das richtig?).
LOG befindet sich im Anhang

zu #5:
Habe Combofix ausgeführt.
Es kamen aber nicht die beiden Meldungen zum Wiederherstellungspunkt! Ist trotzdem alles ok?
LOG befindet sich im Anhang.

Hallo broeps,




Schritt # 1: Beantwortung deiner Fragen

Zitat:

Zitat von broeps

zu #2:
Habe den CCleaner deinstalliert.
Ich habe es einmal angewendet, da ich mal Probelme mit anderen Plagegeistern hatte und es mir empfohlen wurde. Habe aber "nur" die Registry bereinigt (und keine anderen Dinge) und habe auch vorher die Registry gesichert.

Die mitgelieferte Funktion zum Löschen von temporären Dateien ist an sich nicht schlecht, aber von Registry Cleanern kann ich nur abraten.

Zitat:

Zitat von broeps

zu #3:
Habe den TDSS Killer ausgeführt.
Es kamen neben den Malicious objects auch noch Suspicious objekts. Bei denen konnte man nicht Cure auswählen. Ich habe es mal bei Skip belassen.
Ich habe einen Screenshot davon gemacht. Befindet sich ebenso wie der LOG im Anhang.

Bei der Datei sptd.sys handelt es sich um einen Treiber von Alcohol bzw. Daemon Tools. Du hast alles richtig gemacht. Wichtig ist, dass wir das Rootkit erledigt haben, was wir mit Schritt 3 überprüfen.

Zitat:

Zitat von broeps

zu #4:
Habe OTL ausgeführt (mit den gleichen Einstellungen wie zuvor, noch eine Frage dazu: "Use No-Company-Name WhiteList" war nicht in eurem Screenshot vorhanden, habe es daher mal deaktiviert, war das richtig?).
LOG befindet sich im Anhang

Du brauchst nichts deaktivieren bzw. aktivieren, solange ich es dir nicht sage. Für einen Fix spielt diese Einstellung keine Rolle. Die von dir genannte Einstellung bitte wieder aktivieren.

Zitat:

Zitat von broeps

zu #5:
Habe Combofix ausgeführt.
Es kamen aber nicht die beiden Meldungen zum Wiederherstellungspunkt! Ist trotzdem alles ok?
LOG befindet sich im Anhang.

Ja.





Schritt # 2: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

• Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Suchlauf durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 3: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 4: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 5: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Wirst du immer noch auf freesearchquick.com weitergeleitet? Starte Firefox und den Internet Explorer und überprüfe. Berichte bitte.
• Wie läuft dein Rechner derzeit?

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von MBAM,
• das Logfile von aswMBR,
• die beiden neuen Logfiles von OTL (OTL.txt und Extas.txt) und
• die Beantwortung der gestellten Fragen.

Hy,

Ich springe hier einmal ein. Gibt es sonst noch Probleme ausser das die Updates nicht wollen ?


Drücke bitte die Windows + R Taste und gib cleanmgr ein.
Belasse die Einstellungen wie sie sind und drücke auf OK.



Defragmentiere einmal deine Festplatte/n.

"Start" --> Alle Programme --> Zubehör --> Systemprogramme --> Defragmentierung.



Downloade dir bitte FixIt von Microsoft.

Rechtsklick auf die .msi Datei und wähle Installieren. Folge den Anweisungen auf dem Desktop.


Gehe sicher, dass Datum und Uhrzeit korrekt in der Taskleiste angezeigt werden.


Versuche nun bitte erneut das Sp1 zu installieren und berichte

Hallo,

die Datenträgerbereinigung nutze ich gelegentlich, daher waren nicht mehr die Standardeinstellungen gesetzt. Sollte aber so gepasst haben.

Zu defragmentiren gab es auch nicht viel auf C (nur 3 %), habe es aber gemacht.

FixIt wurde installiert.

Der erneute Versuch das SP1 zu installieren ergab wieder "Nicht genügend Systemressourcen, um den angeforderten Dienst auszuführen".

Handelt es sich um einen Laptop ?
Wenn ja, gehe sicher dass du nicht im Akku Betrieb läufst während der Installation.

Installierst Du das Sp1 über die Windows Updates ? Falls ja, versuchen wir einmal mal manuell.

Gehe bitte auf folgende Seite
http://www.microsoft.com/downloads/d...ang=de&pf=true und klicke auf Weiter.

Führe gegebenfalls die Gültigkeitsprüfung durch und downloade dir windows6.1-KB976932-X86.exe

Schließe alle Programme, deaktiviere alle Sicherheitsprogramme ( Anti Viren Software usw )

Starte die .exe mit Rechtsklick "als Administrator starten".


Sollte es wiederrum zu der Fehlermeldung kommen bitte folgendes.



Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows

• Starte den Rechner neu auf.
• Sobald du den Rechner das erste mal piepen hörst, drücke die F8 Taste. ( Dies kann von System zu System variieren )
• Windows wird dir ein Auswahlmenu geben anstatt sich normal zu starten.
• Wähle hier Abgesicherter Modus und drücke Enter.

Versuche nun den sfc /scannow Befehl erneut.

Ja, es ist ein Notebook (Samsung Madril R560).
War bei den Versuchen nicht im Akkubetrieb.

Habe das SP1 manuell und auch über das automatische Update versucht zu installieren.

Habe nochmal das SP1 manuell heruntergeladen. Kam immer noch der gleiche Fehler mit den Systemressourcen.

Auch immer abgesicherten Modus konnte Sfc /scannow nicht ausgeführt werden (siehe Screenshot im Anhang).

Hy, ich werd mal ein paar Kollegen fragen ob die hier noch eine Idee haben.

Ja, das mach ich dann mit dir Ich wart jetzt einmal auf ne Idee von internationalen Kollegen.

Hy, kurze Zwischenfrage, ist dieses WIndows 7 ein Upgrade von Vista ?

Hab gerade noch was gefunden.

Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern:
Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen.


Drücke auf "Start" und gib cmd in das Suchfeld ein. Rechtsklick auf die cmd.exe und als Admin starten.

Kopiere bitte folgenden Text
reg delete HKLM\COMPONENTS /v StoreDirty

Rechtsklick in das schwarze Fenster und wähle Einfügen. --> Drücke ENTER und starte den Rechner neu auf. Danach über die Automatischen Updates bitte alle Updates installieren ( falls möglich )

Versteh ich das jetzt richtig, dass Du ne vollständige Win 7 CD hast ?

Ich sehe da nämlich nur noch formatieren als wirklichen Ausweg

Ich habe die Vista Home Premium SP1 DVD, die beim Notebook mit dabei war.
Und ich habe die Windows 7 Professional DVD, die ich zusammen mit der Upgrade-Lizenz bekommen habe.

Soll ich ERUNT und reg delete HKLM\COMPONENTS /v StoreDirty noch ausführen, oder hat sich das inzwischen erledigt?