Ständiger befall von viren oder maleware
 

Hallo,

seit etwa 4 Wochen habe ich stetige Probleme durch o.g. Thema. Ich kam auf diese seite wegen des gleichen problem eines mitleidenen. ich las viel und lud viel herunter, um eigenständig abhilfe zu schaffen.
kurz zur historie:
*ständiger viren oder und malwarebefall
*windows repair schaffte anfangs abhilfe, allerdings wurde es dann wieder schlimmer mit viren etc, sodass ich windows repair mehrfach in abständen laufen lies und die reparaturzeit sich deutlich verlängerte. also etwa scheint da im argen zu sein.
*tastatur und touchpadausfälle (werden immer mehr)
*unerwartes herunterfahren von windows (bisher 2x)
*lüfter läuft sehr sehr oft auf hochtouren, die ram auslastung liegt knapp unter 3gb und es
sind keine programme geöffnet (es stehen mir 8gb ram zur verfügung)
*ausfall easy display manager über alle Fn funktionen (ich löschte easy display manager, da
ich keinen aktuellen treiber finden konnte und lud mir ein neues programm herunter. leider
waren da viele schädliche links o.ä. drin und funktioniert hat es auch nicht)
*wenn ich meinen mauszeiger bewege, springt sehr oft die bildscrolleiste hin und her, also der
angezeigte inhalt liest sich nicht mehr bei x ab, sondern verrutscht auf y (3-4cm nach oben
oder unten) oder/und es werden einfach teile der ansicht markiert (blau eingefärbt)
*viele programme zur abhilfe heruntergeladen
-malewarebytes (leider fehlen mir vom anfang der probleme die logfiles, über 800
infizierungen)
-spybot
-advanced system opt
-ccleaner
-spywareblaster
-adwcleaner
-Regclean pro
-Roguekiller

Meine rechnerinformationen:
samsung r540
windows 7 64bit
8gb ram
core i3 cpu
m350
2,27 ghz

ich hoffe sehr, dass mir jemand schnell helfen kann, da ich kurz davor bin, das laptop an die wand zu schmeißen. habe sicherlich, meist unwissend, alles selbst verursacht, erbitte dennoch um unterstützung von experten.
Ich hoffe hier keine anwenderfehler gemacht zu haben. wenn doch, dann bitte mitteilen, damit ich es ändern kann. vielen dank und gruß sven

Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.

hallo schrauber,

danke danke für die zügige antwort. da du nicht geschrieben hast, dass ich zukünftig die files anderweitig posten soll, hatte ich vor das eben zu machen. habe die vorgehensweise verstanden, jedoch sind alle code zu lang.

ich probiere es einzeln:


bitte, ich bin nicht mal annähernd ein laie was "eure" sprache betrifft. wenn möglich ganz einfach erklären, als ob du einen neandertaler vor dir hast :rofl:

gruß sven

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---



--- --- ---




[CODE]RogueKiller V8.7.0 _x64_ [Sep 30 2013] durch Tigzy
mail: tigzyRK<at>gmail<dot>com

mail : tigzyRK<at>gmail<dot>com
Kommentare : hxxp://www.adlice.com/forum/
Webseite : hxxp://www.adlice.com/softwares/roguekiller/
Blog : hxxp://tigzyrk.blogspot.com/

Betriebssystem : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Gestartet in : Normaler Modus
Benutzer : sven [Admin Rechte]
Funktion : Scannen -- Datum : 10/02/2013 12:19:27
| ARK || FAK || MBR |

¤¤¤ Böswillige Prozesse : 1 ¤¤¤
[SUSP PATH][DLL] explorer.exe -- C:\ProgramData\AllDup\FEShlExt.dll [x] -> ABGELADEN

¤¤¤ Registry-Einträge : 2 ¤¤¤
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (localhost:21320) -> GEFUNDEN
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyEnable (1) -> GEFUNDEN

¤¤¤ Geplante Tasks : 0 ¤¤¤

¤¤¤ Autostart-Einträge : 0 ¤¤¤

¤¤¤ Web-Browsern : 0 ¤¤¤

¤¤¤ Bestimmte Dateien / Ordner: ¤¤¤

¤¤¤ Treiber : [NICHT GELADEN 0x0] ¤¤¤

¤¤¤ Externe Hives: ¤¤¤

¤¤¤ Infektion : ¤¤¤

¤¤¤ Hosts-Datei: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]


¤¤¤ MBR überprüfen: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Standardlaufwerke) - SAMSUNG HM321HI ATA Device +++++
--- User ---
[MBR] a9d237149bc844f44b63f635fe06476b
[BSP] d2830fd171ddd0b154be88f68d35f4cb : KIWI Image system MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 20480 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 41945088 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 42149888 | Size: 114688 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 277030912 | Size: 169975 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Abgeschlossen : << RKreport[0]_S_10022013_121927.txt >>

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

moin schrauber,

kurze statement:
*"qv06" hatte ich mir mit dem vermeintlichen neuen easy display manager eingefangen. wenn google chrom gestartet wird, ist qv06 meine startseite. überall wo ich verbindungen finden konnte, hatte ich die entfernt. aber trotzdem bleibt qv06 zäh
*wieder mehrfache rechnerabstürze bzw auch einfrierungen
*der neustart dauerte etwa 15 min
*tastatur und mousepad fallen immer öfter aus. kann mich teilweise nur noch mit der virtuellen tastatur von kasperky behelfen

es wäre nett von dir, wenn du mir zum abschluss einige ratschläge bzgl programme erteilen könntest. z.b. ob kasperky sinnvoll ist etc. oder kaspersky unterstützung von anderen programmen benötigt oder oder oder.

so, hier die logfile von combofix. soll combofix wieder gelöscht werden?

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

moin schrauber,

kurz zu heute:
*mousepad und tastatur komplett ausgefallen, auch virtuelle tastatur. ging nur noch über zweiten rechner und usb stick
*nach einer weile sprang der lüfter wie verrückt an, der rechner arbeitete und die tastatur ging wieder kurzfristig

so, es jetzt zu den logs.





FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


Besten Dank bis hierher und gruß sven

hallo schrauber,

was mir noch eingefallen ist.
die ganz geschichte fing eigentlich vor vielen monaten an, wenn ich das mal so revue passieren lasse. ich bekam mehrfach email post von:
* inkassobüros wg angeblich bestellter ware die nicht bezahlt wurde
* pishingmails angeblich von paypal, amazon und dhl das meine kontodaten geändert werden müssen oder man versucht hat darauf zuzugreifen bla bla blub...
* fedex versanddateien, die ich versehentlich öffnete
* anfragen von ebay kleinanzeigen interessenten, wo ich einige sachen anbot, die mir entgegen den abkommen anderen summen anboten, sollte vorab bezahlen. es meldete sich die landesbank berlin aus china in einem sehr schlechten deutsch. als ich stutzig wurde, verschob ich alle mails in einem separaten ordner den ich entsprechend benannte. am nächsten tag waren alle spuren verwischt, heißt gelöscht. ich nahm die gesendeten mails und verschob sie wieder in den ordner. auch diese wurde gelöscht.... 2 tage später melde sich wieder eine person zu meinen angebotenen sachen. das selbe schlechte deutsch und exakt die gleichen fragen...

mehr fällt mir nicht ein. vllt bringt es dir was...

danke und gruß sven

Downloade dir bitte Windows Repair (All In One) von hier.

• Installiere das Programm. Starte es, nachdem die Installation abgeschlossen wurde.
• Klicke auf Step 2 und drücke unter Check Disk auf Do It.
  
  http://i1224.photobucket.com/albums/...3/Capture3.gif
• Wenn der Vorgang abgeschlossen ist, klicke auf Step 3 und drücke unter System File Check auf Do It.
  
  http://i1224.photobucket.com/albums/...y3/Capture.gif
• Nachdem der Vorgang abgeschlossen ist, klicke auf Start Repairs, wähle den Advanced Mode und drücke Start.
  
  http://i1224.photobucket.com/albums/...3/Capture1.gif
• Gehe bitte sicher, dass die Kästchen wie unten zu sehen angehakt sind. Bitte hake zusätzlich noch Set Windows Services to Default Startup an.
• Hake Restart System when Finished an.
• Drücke Start.
  
  http://i1238.photobucket.com/albums/...eakingtool.jpg

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

hallo schrauber,

folgendes vorab.
windows repair:
*trotz haken setzen für restart, erfolgte nur ein herunterfahren
*konnte kein advanced modus anwählen, konnte überhaupt nix anwählen

antimaleware:
* hatte aus dem bauchgefühl heraus nochmals nach den ganzen sachen die ich machen sollte einen scan ausgeführt. es tauchen immer die selben sachen auf. poste ich auch am ende

easy display manager:
* kannst du mir vllt sagen, wo ich für meine mühle einen bekomme? bei samsung fand ich nichts und anderweitig bin ich geheilt von div nebeneffekten




FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


[CODE]Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.10.04.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16686
sven :: AUDIA3 [Administrator]

Schutz: Aktiviert

04.10.2013 20:13:32
mbam-log-2013-10-04 (20-13-32).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 247085
Laufzeit: 3 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\Software\Systweak\RegClean Pro (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 2
C:\Users\sven\AppData\Roaming\Systweak\RegClean Pro (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\sven\AppData\Roaming\Systweak\RegClean Pro\Version 6.1 (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 6
C:\Users\sven\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\eng_rcp.dat (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\sven\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\ExcludeList.rcp (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\sven\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\German_rcp.dat (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\sven\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\log_10-04-2013.log (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\sven\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\results.rcp (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\sven\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\TempHLList.rcp (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
[/CODE

Vielen dank und gruß sven

kurzes feedback nach dem soeben getätigten neustart:

*bei herunterfahren wurde der bildschirm schwarz und ein mittelgroßes blaues fenster öffnete sich mit ein haufen infos. kurz erlesen konnte ich nur "damage windows system"

*mousepad und tastatur fallen immer noch aus

*positiv: qv06 in chrome in verschwunden
*positiv: das hochfahren geschah verhältnismäßig zügig

:dankeschoen: gruß sven

Findet MBAM jetzt nach Löschen immer noch was?

Ich weiß gar nit was das sein soll :D

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Kam der Absturz nochmal oder war der jetzt einmalig?

moin mein lieber,

immer schön von dir zu hören und das du dich ausgiebig meiner themen annimmst. find ich super!!!

zum absturz:
* kam bis jetzt nicht mehr vor
* was bedeutet das "windows damage"? kannst du was mit anfangen, was ich dir gestern schrieb?

antimaleware:
* habe sämtliche scanns durchgeführt
* erst quick, dann ausgiebig und letztlich noch den flash-scanner
* keine auffälligkeiten

was muss gelöscht werden bzw. was ist empfehlenswert?
* laufwerk "D" formatieren und neue sicherung anlegen?
* hilfprogramme löschen? wenn ja, welche?

notepad fixfile:

zusätzlich eine spybotfile:

Das bedeutet nur genau das was da steht. Windows wurde beendet bevor ein Schaden entsteht. Was genau kann man nit nachvollziehen. Wenn es nicht mehr kommt verbuch es unter Schluckauf.
was ist denn Laufwerk D?

Tools löschen wir wenn wir komplett fertig sind :)

hi,

:eek: wat laufwerk d ist?
naja, d ist d, genauso wie c gleich c ist. unter d liegt meine datensicherung mit systemabbild. ich nehme aber an, dass die auch verseucht sind. somit würde eine formatierung sinn machen, oder net?

gruß sven