Laptop arbeitet dauernd | Firefox leitet auf Malware Seite um | Dienste nicht mehr reaktivierbar
 

Hallo an alle,

ich mache diesen Thread zum zweiten mal auf. Das liegt daran das ich heute Nacht meinen alten 2x editiert habe und ein drittes mal wohl nicht funktioniert. Deswegen musste ich auf meinen eigenen Thread antworten um etwas zu ergänzen. Ich habe gelesen das bei euch eine Antwort als "wird bearbeitet gilt". Ich brauche meinen Laptop ab heute Abend 23.00 zum arbeiten, es wäre toll wenn ich ihn bis dahin noch kaputt "bomben" könnte.

"Ich glaube ich habe mir was eingefangen. Ob das von einem uralten USB Stick kam den ich gefunden habe und mal eingesteckt hatte (ist Linux drauf) (autorun über Windows deaktiviert) oder weil ich den Virenscanner gewechselt habe (Seitdem ging es glaube ich los, scheiß Kaspersky!). Habe auch mit dem VMPlayer rumgespielt.

Ich bin mir eigentlich sicher das irgendwas gehörig faul ist. Wenn nicht, traue ich dem ganzen Braten trotzdem nicht.
Ich will den PC jetzt 100% neu aufsetzen und vorher alles kaputt bomben egal ob alles rein ist oder nicht.

Ich schreibe mal alles was mir so auffällt und hänge Screenshots an.

Mein Laptop rödelt die ganze Zeit, ich merk da ist irgendwas. Außerdem blinkt die LED Leuchte immer im Takt. Auch wenn ich die Internet Verbindung ausmache (Wlan adapter deaktivieren alles) und als geht es weiter. Ich habe sogar das Netzwerk Kabel vom Router gezogen und als arbeitet mein Laptop weiter.

Ich hoffe die FritzBox & FritzBox Repeater Software (hatte mich drauf eingeloggt als die Internet Verbindung als rumspinnte) hat nix abbekommen. Hänge mit meinem Sony Bravia TV sowie Xbox und Ps ebenfalls an dem Router.

Wenn ich einen Ordner schließe oder sonst was mache, bekomme ich manchmal in der linkeren oberen Ecke irgendeinen Schwarzen Kasten angezeigt in dem irgendwas drin steht, kann ich aber nicht lesen so schnell ist das Ding wieder weg.

Ich habe mich in den letzten Stunden bei allem möglichen eingeloggt, vom Online Banking, bis zu Microsoft,Paypal usw.

Wie kann ich meinen PC komplett nieder machen?
Mit Dariks Boot and Nuke alles komplett kaputt bomben? (Bräuchte eine Anleitung)
Wie kann ich auf sicherem Wege saubere Software + Windows 7 Iso downloaden?

Und wenn mein Router infiziert ist kann ich ja meinen Laptop retten wie ich will oder?

Ich bitte um eure Hilfe!
__________________________________________________________

€ Ich habe die ganze Nacht tausende Programme durchprobiert. Kram deinstalliert, Haufen Scans gemacht. Bis 23.00 Uhr kann ich hoffentlich fertig sein.. Die Kiste läuft jetzt schon ruhiger, aber ich kann den Sicherheits Dienst nicht starten und werde auf Malware Seiten umgeleitet. Bissher hat kein Programm mir das je gemeldet! Nur das Emisoft Anti Malware!

- Emisoft Anti-Malware meldet wenn ich den Firefox öffne wird eine Verbindung zu XXX (ich poste den Link hier nicht) aufgebaut. VirusTotal -> Malware Seite

- Unhackme:

Item Name: BootExecute
Author: Unknown
Related File: autocheck autochk *\n <BR>sdnclean64.exe<BR>
Type: Bootexecute


- Irgendein Microsoft Scanner (Name weiß ich nicht mehr, ich habe wirkliche dutzende Programm bis heute morgen um 05.00 durchprobiert) meldete es wäre ein Proxy eingestellt. Das habe ich gefixt.

- Als ich den Eset Online Scanner (hatte Eset die ganze Zeit als Virenscanner, hätte ich den bloß behalten lief alles gut) nutzte, konnte der keine Virenupdates laden. Als ich unter Proxy Einstellungen Proxy aktivieren gemacht habe und alle Felder frei gelassen hatte, also nix eingetragen konnte das Ding auf einmal die Updates laden.

- Microsoft Sicherheitscenter Dienst ist deaktiviert, und ich kann ihn auch nicht mehr aktivieren.

- WMI Autorun Entry: BVTConsumer Microsoft ® Console Based Script Host Microsoft Corporation c:\windows\system32\cscript.exe 12.10.2013 03:33
Normal?

- Autorun Logon: cmd.exe Windows-Befehlsprozessor Microsoft Corporation c:\windows\system32\cmd.exe 20.11.2010 11:46
Normal?

- Autorun Logon: SystemPropertiesPerformance.exe Computerleistungseinstellungen ändern Microsoft Corporation c:\windows\system32\systempropertiesperformance.exe 14.07.2009 01:56
Normal?

- TrojanHunter (aber auch nur TrojanHunter, kein anderes Programm) meldet mein Dritek (dsiwmis.exe) WMI Service + Launch Manager utility process (LMutilps32.exe) wäre infiziert.

Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.

Hallo Schrauber (du hast mir schon einmal geholfen ;) ) wird gemacht.

FRST


FRST Logfile:
--- --- ---

addition

gmer

GMER Logfile:
--- --- ---

hi,

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hi schrauber.

Ich habe Sonntag Abend meinen Laptop platt gemacht weil ich ihn dringend gebraucht habe. Mit einer Linux CD Partion gelöscht, neu gemacht, Win7 drauf.

Da ich trotzdem sicher gehen wollte, habe ich erneut einen Farbar + Gmer Scan auf dem frisch installierten Win7 gemacht. Keine Probleme.

Jetzt habe ich Combofix geladen, Internet getrennt, Virenscanner deaktiviert bis zum Neustart (gibt bei Smart Security keine anderen Optionen, da hätte ich schon den kompletten Dienst über services.msc deaktivieren müssen). Combofix gestartet, einen Moment später die Meldung ob ich Eset Smart Security beenden möchte (da war das blaue Dos Fenster von Combofix schon im Hintergrund), hab auf ja geklickt. Da ich dem Scan nicht beim arbeiten zuschauen wollte bin ich vom Laptop weggegangen.

Während ich an meinem Ersatz Laptop (den ich gerade nutze) sitze, höre ich den Sound vom Win7 Start. Höh?

Hat die Kiste also neugestartet, nagut ich melde mich an. Und jetzt habe ich ein Problem:

Das Fenster von Combofix "springt" (ich mein wie bei einem Daumenkino) von links oben bis in etwa die Mitte. Ich krieg den Taskmanager gerade so auf aber schaffe es nicht auf irgendeinen Prozess zu klicken und diesen zu beenden. Wenn ich einen Klick schaffe ist die Markierung gleich wieder weg. Die Taskmanager zeigt fast 100% CPU Auslastung und der Laptop brennt mir die Beine weg wenn ich ihn auf dem Schoß habe.

Laptop hart neugestartet -> keinen Erfolg. Der selbe Scheiß wieder.

Kann das von Eset Smart Security kommen das ich nach dem PC Neustart wieder aktiviert hat? War der Neustart überhaupt normal?

Jetzt kann ich das Teil gar nicht mehr benutzen und heiß laufen tut es zudem auch.

Ich bin über ein anderes Benutzerkonto ins Windows gekommen.

Combofix blaues Fenster öffnete sich, erstellte Log.
Log Datei öffnete sich, Taskleiste verschwand. Log Datei ging zu dann startete Windows neu.

Bin dann nicht mehr übers Admin Konto rein, sondern übers normale (bei dem Combofix vorhin so Probleme gemacht hat)

Jetzt habe ich ein paar neue Ordner auf C:\

$RECYCLE.BIN
ComboFix
QooBox

Und eine Log Datei die auf C:\ direkt liegt.

Combofix Logfile:
--- --- ---

Hier noch die anderen Logs nach der Neuinstall von Windows.

FRST:

addition:

GMER Logfile:
--- --- ---

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Ich habe in Eigenregie RogueKiller benutzt. Es wurde etwas gefunden das ich gelöscht habe. Log hänge ich mit dran.

Junkware Removal Tool funktioniert nicht. Es öffnet sich die Kommandokonsole in der nichts drin steht. Es blinkt nur der cursor (also der unterstrich) und das wars auch. Habe über 30 Minuten gewartet aber es nichts passiert.

Ich habe von Malwarebytes auch diese Chameleon Version benutzt. Das was auf der offiziellen Seite angeboten wird wenn Rechner bereits infiziert sind.

ROGUEKILLER

MBAM

ADWCLEANER

AdwCleaner Logfile:
--- --- ---

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Hi schrauber! Hier kommen die Logs:

ESET

SECURITYCHECK

frst 1

frst 2

addition

Fertig :)

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Falls Du Lob oder Kritik abgeben möchtest kannst Du das hier tun :)

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hallo schrauber!

Vielen Dank für deine Hilfe!
Ich habe alle Schritte durch und es sind keine Probleme aufgetreten.
Dann hoffe ich mal jetzt Ruhe zu haben.

Gern Geschehen :)