Laptop extrem langsam, Firewall nicht aktivierbar, Malwarebytes hat mehrere Viren gefunden
 

Sitze hier vor dem Rechner eines Verwandten, dessen Rechner mit verschiedensten Viren infiziert war bzw. immer noch ist.
Neben oben genannten Problemen lässt sich ein Windows-Update wohl seit längerer Zeit nicht installieren.
Auch sucht der Rechner nach jedem Systemstart nach einem PCI-Treiber und bleibt bei der Suche hängen.
Bisher konnte ich den Rechner zwar nur sehr langsam booten und auch die Logfiles estellen. Als ich die Logfiles von Malwarebytes hier hinzufügen wollte, ist der Rechner ganz abgestürzt und ich bin nun im abgesicherten Modus online.
Ich hoffe sehr, dass mir jemand von euch helfen kann und bedanke mich schon jetzt bei Euch.
Hier nun ein paar Logfiles:

hi,

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hallo,
ganz herzlichen Dank schon mal.

Ich habe mir Combofix heruntergeladen und vor der Ausführung der Datei den Avira Echtzeitscanner deaktiviert.Habs auch nochmal überprüft, Avira zeigt mir die Meldung:Echtzeitscanner ist nicht aktiv, Ihr Computer ist nicht sicher.

Nun kommt aber die Meldung von Combo-Fix: Achtung!! Avira Real-Timescanner ist immer noch aktiv. Was kann ich machen? Soll ich dennoch fortfahren?

Lg

Hallo!
Also ich hab jetzt Avira deinstalliert, dann Combo-fix ausgeführt und dann Avira neu installiert.
Ich hoffe das passt so.

Hier die Log-Datei:

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Hallo,
ich kann nach wie vor nur im abgesicherten Modus arbeiten. Sobald ich den Rechner normal starte, liegt die Auslastung des Arbeitsspeichers bei 100% und fährt nur manchmal auf ca. 80 Prozent runter.
Ich habe herausgefunden, dass das Update, das sich nicht installieren lässt, zu einem SQL-Server gehört, der jedoch nicht benutzt und benötigt wird (lt. Besitzer). Ich konnte die entsprechende Software jedoch nicht löschen.Und nach wie vor sucht der Rechner nach neu installierter Hardware.
Hier nun die neuen Logfiles (ganz herzlichen Dank für die Hilfe!)
FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Hallo, habe leider immer noch riesige Probleme:
Nachdem ich die beide Logs erstellt hatte, war der Rechner immer noch nicht schneller. Windows suchte nach Updates und fand auch einige wichtige (und auch viele optionale). Dieses Update (wieder eins für den SQL-Server) ließ ich dann über die Online-Hilfe von Microsoft installieren. Auch danach war der Rechner nicht schneller.

Der Gerätemanager zeigte mir weiterhin die Soundkarte als fehlerhaft an. Ich habe versucht sie zu deinstallieren und neu zu installieren, aber der Fehler blieb bestehen.

Danach verwendete ich noch den CC-Cleaner, um den Verlauf, Papierkorb usw. zu löschen (jedoch nicht die Registry, um Fehler zu beheben). Während des Löschvorgangs sah ich, dass auch die "erweitert" Anwendungen gelöscht wurden (die hatte ich aber definitiv nicht extra angeklickt). Ich versuchte, den Löschvorgang abzubrechen, was nicht funktionierte.

Als ich danach im gesicherten Modus starten wollte, blieb der Bildschirm bis auf ein Eingabeaufforderungszeichen schwarz.

Heute schaltete ich den Computer wieder an, und sah, dass zwei neue Dateien unter "Eigene Dateien" vorhanden waren. Sie hießen Bepo10.hu und Lieder Bepo (beides Textdokumente).
Darauf hin habe ich die Systemwiederherstellung ausgeführt. Danach startete ich den PC wieder im abgesicherten Modus, um deine Anweisungen von gestern erneut auszuführen. Als ich die Avira-Software ausschalten wollte vor dem Scan, erschien die Meldung: zwei Dienste arbeiten nicht richtig und Ihr Computer ist nicht sicher. In der Taskleiste unten rechts war der Schirm zu, und die Firewall habe ich ausgeschaltet. Der Onlinescanner von ESET erbrachte die gleichen Funde wie gestern 14 Adware-Dateien. Als ich Avira unter Software wieder aktivieren wollte, ging es nicht. Auch war die Ask-Toolbar wieder da. Deshalb wollte ich Avira erneut löschen und neu installieren. Ich bekam nun einmal die Nachfrage von Avira, warum ich löschen wollte. Als ich den IE wieder schloss, war Avira immer noch da und ich klickte erneut auf Entfernen. Das ging aber nicht und unten in der Taskleiste war eine unbenannte Datei, die ich nicht öffnen konnte. Also fuhr ich den PC wieder herunter und wollte erneut im abgesicherten Modus starten. Es kam eine Datei cmd: Eigene Dateien....usw. Daraufhin erneut heruntergefahren und im normalen Modus gestartet.

Nun habe ich den Computer wieder auf den gleichen Zeitpunkt hergestellt wie das erste Mal. In der Startleiste ist das Symbol von Avira weg, auf dem Bildschirm jedoch noch immer vorhanden. Auch die o.g. Dateien sind noch vorhanden. Sieht nicht gut aus, oder?

Frisches FRST log bitte. Win DVD da?

Hallo.

Als ich mit dem Rechner online gehen wollte, erschien die Meldung, dass Avira irgendwelche Dateien hochlädt, also bin ich wieder offline gegangen. Jetzt sind auch einige Bilder verschlüsselt. Ich habe aber letzte Woche schon alle Dateien gesichert.

Ich habe gestern eine Logdatei mit FRST erstellt. Kann ich die problemlos auf eine CD brennen und an meinem Computer hochladen, oder besteht die Gefahr, dass ich dann meinen Laptop auch infiziere? Ich hatte die Dateien für FRST, Malwarebytes usw. an meinem Laptop auf eine CD gespeichert und dann auf den betroffenen Laptop übertragen. Diese Dateien auf der CD sind jetzt auch weg.

Im Programm FRSTauf der Festplatte ist ein Ordner "hives". Die Dateien, die drin sind heißen alle was mit "ERDNT" Kann ich dort eine neue Logdatei erstellen, oder ist das jetzt überflüssig, nachdem schon Dateien verschlüsselt sind.

Eine Win-DVD ist vorhanden. Allerdings steht auf der MSOffice-CD, dass es sich um eine Testversion handelt und der Lizenzschlüssel ist nicht auffindbar.

Vielen Dank für deine Hilfe selbst am Wochenende:daumenhoc.

PS: noch eine Frage. Auf der vorhandenen Treiber-CD sind 4 Bilddateien aus "eigene Bilder" drauf. Kann ich die dann im Fall einer Neuinstallation noch verwenden, oder ist die auch infiziert?

Bilder kannste verwenden. Ich kann dir aber gerade nicht mehr folgen. Was ist denn jetzt verschlüsselt? Seit wann?

Du hast den Ordner von FRST auf die CD gebrannt, mit den Registry backups von Erunt (ERDNT). das ist nicht das Logfile von FRST.

aber irgendwie ist gerade was ganz komisch mit der Kiste.

Hallo!

Hast du eventuell den Text unterhalb meines letzten Logfiles übersehen? Hätte ihn natürlich eher gleich oben hinschreiben sollen. Die Dateien sind verschlüsselt, seit ich Avira deinstallieren wollte.

Ich habe keine cd gebrannt vom neuesten Logfile unter FRST., weil ich merkte dass diese Dateien wahrscheinlich auch umbenannt wurden.

Lg

Doch den hab ich überlesen. Du probierst viel zu viel auf eigene Faust, und ich hab dir eine Frage nach der Windows DVD gestellt ;)

Hallo,
Win-DVD ist vorhanden.

Einlegen, und bitte ne Rep-Installation machen.

Reparaturinstallation Windows XP - grafische Anleitung ...

Hallo Schrauber!

Eine Frage hab ich noch, bevor ich das ganze durchführe. Für die installierte Office Version ist momentan der Lizenzschlüssel nicht auffindbar.

Nachdem ich ja noch online gehen kann mit dem betroffenen Laptop, könnte ich da den Lizenschlüssel auslesen. Oder ist das keine so gute Idee?

lg

Hallo nochmal!

Die erste Frage hat sich erledigt, der Lizenzschlüssel wurde gefunden.

Ich wollte jetzt die Reparaturinstallation machen, allerdings habe ich nun gesehen, dass auf der DVD Vista ohne Servicepack drauf ist. Kann ich die problemlos nehmen?

Vielen Dank!