Win10: User oobe create elevated object server meldung beim OS-start
 

Liebes Team vom Trojaner-Board,

Ich wollte mir kürzlich von der Freemake-Seite den Video-Downloader für Youtube herunterladen. Seitdem bekomme ich immer beim Windows-Start eine
"User oobe create elevated object server" Meldung. Irgendetwas soll ausgeführt werden.
Ich bekomme diese Nachricht nicht weg und habe seitdem vermehrt mit Sicherheitswarnungen von Kaspersky zu tun.
Den Freemake-Downloader benutze ich auf anderen Systemen ohne Probleme.

Ein Scan mit Kaspersky fand Bedrohungen, ändert aber nichts an der Meldung.

Ich benutze Windows 10 64 Bit. Die Version habe ich über das Microsoft dreamspark-Programm meiner Universität erhalten.

ADDITION-Log

Kaspersky-logs
Vielen Dank im Vorraus

Das FRST Log ist zu groß. Ihr schreibt, dass man es nur aus ausdrückliche Anweisung gezippt anhängen soll. Wie soll ich verfahren?

:hallo:
Mein Name ist Rafael und ich werde dir bei der Bereinigung helfen.

Damit ich dir optimal helfen kann, halte dich bitte an folgende Regeln:

• Bitte lies meine Posts komplett durch bevor du sie abarbeitest
• Wenn ein Problem auftauchen sollte oder dir etwas unklar ist, unterbreche deine Arbeit und beschreibe es so genau wie möglich.
• Bitte kein Crossposting
• Installiere oder Deinstalliere keine Software ohne Aufforderung
• Bitte verwende nur die Tools, welche hier im Thread erwähnt werden und führe sie nur gemäß Anweisung aus
• Bitte antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
• Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen
• Wichtig: Nur weil dein Problem mit einem Schritt plötzlich behoben ist, bedeutet das nicht, dass dein PC auch sauber ist. Mache solange weiter, bis ich dir sage, dass dein PC "clean" ist
• Wenn ich dir nicht binnen 36h antworte, sende mir bitte eine persönliche Nachricht!

Los geht's :abklatsch:


Bitte poste deine FRST.txt hier im Forum.

Wenn der Log wirklich extrem lang ist, kannst du ihn bei mir auch als .txt als Anhang anfügen.

Bitte poste dein Ergebnis zwischen Code-Tags
Wenn ein Log zu lange ist, teile es bitte auf mehrere Antworten.

Hallo Rafael,

vielen Dank, dass Du mir hilfst.

Regeln sind klar, ich werde mich bemühen es auch für Dich möglichst angenehm zu machen.

Hier kommt das FRST-Log (Wie gesagt im Anhang, da es zu lang ist). Leider Auch als normaler Anhang zu groß (240kB, erlaubt sind 98kB), daher zippe ich es.

Die restlichen Logs sind ja in meinem ersten Beitrag (Addition und Kaspersky)

das schaut definitiv faul aus. Bitte mache keine sensiblen Sachen an deinem PC, bis wir sicher sind, was auf deinem PC los ist.

Schritt: 1
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Alles erledigt. Hier kommt das Log. Ich werde den PC jetzt erstmal nicht weiter nutzen.

Log ist wieder zu groß. Daher als Anhang.

Schritt: 1
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke links auf Einstellungen und wechsle zum Tab Schutz.
• Unter Scan-Optionen aktiviere die Option Nach Rootkits suchen
• Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Hallo Rafael,

erstmal vielen Dank für deine wahnsinnig schnelle Behandlung des Problems. Ich bin begeistert :-)

Der Malwarebytes-Scan ist fertig. Das Hochfahren hat im Anschluss deutlich länger als sonst gedauert.

Ich wünsche Dir - obwohl Du mir hier gerade hilfst - ein schönes Wochenende.

MfG, Philipp

Dir auch schönes Wochenende :D

Schritt: 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt: 2
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Alles erledigt.

AdwCleaner:

Addition

Schritt: 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt: 2
Starte deinen PC noch einmal neu.

Bekommst du noch immer die Warnung, die du am Anfang erwähnt hast?
Wenn ja, klicke bitte im Fenster auf "Details" oder "weitere informationen" und mache von dem Fenster bitte einen Screenshot bzw. ein Foto und füge es hier an.

Schritt: 3
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Hallo Rafael! So, diesmal war es etwas mehr

Fixlog

Addition-Log

Das FRST-Log, wie immer, im Anhang als Zip.
Die Nachricht beim Systemstart kommt immer noch. Screenshot war nicht möglich, daher nur abfotografiert.

LG

Schritt: 1
Öffne wieder FRST und kopiere das folgende in das weiße Feld:
Drücke dann auf dem Button "Registry-Suche".

WICHTIG: Ich bin mir nicht 100% sicher, ob ich die ID oben, nach der du suchen sollst, korrekt von deiner Meldung beim Start abgeschrieben habe, da dein Foto nicht die beste Qualität hat. Wenn nicht, ändere die ID bitte auf das, was beim Start in der Meldung steht!

Es wird eine SearchReg.txt erstellt werden, bitte poste diese wieder hier.


Schritt: 2
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Das kann eine Zeit dauern.

Hallo Rafael,

das hat lange gedauert, aber ich habe ein Ergebnis.

SearchReg

Fixlog

Schöne Grüße, Philipp

gut gemacht!

Bitte gehe in folgenden Ordner: C:\Windows\Logs

• Gehe in den Ordner CBS und kopiere die cbs.log auf den Desktop.

Erstelle daraus eine .zip Datei und füge sie bitte hier als Anhang an.

Vielen Dank!

Hier kommt das Log.
Sollte es Dich interessieren: Die Meldung kommt immer noch!

Schöne Grüße

mhm ja ist klar.

Das Problem ist, dass einige ziemliche Probleme mit deinen ganzen Systemdateien vorliegen, weshalb sie nicht mehr "vertrauenswürdig" sind. Das kann von Schadsoftware im Extremfall verursacht werden, aber auch andere Ursachen haben. Auf jeden Fall aber nicht in Ordnung und muss abgestellt werden.

Mein Vorschlag wäre, dass wir noch einen Versuch machen und andern Falls solltest du eine Neuinstallation, bzw. ein InPlace Upgrade machen. Auch sollten wir deine Festplatte auf Fehler überprüfen.

Schritt: 1
Folge mal bitte dieser Anleitung: Zustand der Festplatte herausfinden - so gehts - Anleitungen

Schritt: 2
Systemanalyse mit SFCFix

• Im Anschluss lade jetzt bitte das folgende Tool: SFCFix.exe
• Starte es als Administrator und bestätige die Meldungen bis das Tool startet. Denke daran, die Kommunikation mit dem Server durch "Y" und evtl. deiner Firewall zu erlauben.
• Am Ende wird ein Log auf dem Desktop gespeichert - poste den Inhalt bitte hier

Es kann sein, dass es so wirkt, als würde ein Prozess dabei sich aufhängen und nicht vorwärt geht. Das ist aber typischerweise nicht der Fall - einfach genug Zeit lassen.

CrystalDiskInfo

SFCFix

und wenn gar nix hilft, dann muss ich wohl ne Neuinstallation machen :killpc:

Dein PC bzw. deine Festplatte ist brand neu??

Der CBS.log war eigentlich nicht sehr hilfreich, obwohl es hieß, dass Reperaturen durchgeführt wurden.

Du kannst noch einmal FRST-Logs posten, aber ich glaube nicht, dass die Schritte zuvor geholfen haben.

Sonst kannst du auch direkt ein Inplace Upgrade durchführen. Ein passendes Windows 10 Iso kannst du direkt hier Windows laden: https://www.microsoft.com/de-de/soft...load/windows10 - klicke dabei auf "Tool herunterladen"

Der Prozess geht relativ schnell und es werden keine Daten oder Programme gelöscht. Trotzdem ist wie immer ein Backup natürlich empfohlen.

Bitte melde dich, egal welchen Schritt du durchgeführt hast

Hallo Rafael,

ich habe jetzt sämtliche Schritte von Inplace Upgrade durchgeführt. Die Meldung beim Systemstart ist weg. Und auch sonst macht es nen guten Eindruck.

Zu Deiner Frage: In der Tat ist mein Gerät neu. Sorry, dass ich das nicht erwähnt habe.

Brauchst Du zum Abschluss nochmal nen Scan/ein Log?

Vielen Dank!

Eine gute Wahl!

Ja, jetzt checken wir noch, ob echt alles in Ordnung ist:

Schritt: 1
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Schritt: 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hinweis: Dieser Scan kann schon einmal mehrere Stunden dauern...

Hallo.

Das hat ja tatsächlich recht lang gedauert....

Hier die Logs (FRST wie immer im Anhang)

FRST-Addition


ESET


Schöne Grüße

Super, viel besser! Das erkennst du schon selber an den ganzen fehlenden Einträgen wegen fehlender Signaturen in deinen ersten Logs :)

Schritt: 1
Ich würde dir empfehlen, dieses Programm zu deinstallieren:
chip 1-click download service

Das ist einfach unnötig und bringt dir nichts. In Kombination dazu bitte lesen:
Bitte pass auf, wenn du von Chip oder anderen Portalen Software laden möchtest:



Die Funde von ESET zeigen dir auch entsprechend Installer, die unerwünschte Programme bei sich eingepackt haben. Beachte dazu bitte meine Hinweise unten :)

Die Logs von deinem Rechner sehen jetzt für mich sauber aus: Herzlichen Glückwunsch - du bist Clean :daumenhoc



Zum Schluss müssen wir noch etwas aufräumen und ich gebe dir ein paar Hinweise mit auf den Weg:

Wichtig: Entfernen der verwendeten Tools
Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

http://filepony.de/icon/tiny/malware...ti_malware.png Malwarebytes Anti-Malware und http://filepony.de/icon/tiny/eset_online_scanner.pngESET kannst du als Ergänzung zu deiner bestehenden Antivirus-Lösung auf dem Computer belassen und deinen Computer damit regelmäßig scannen.


Persönliche Empfehlungen
Das wichtigste zu erst:

• Aktiviere unbedingt die automatischen Updates von Windows und stelle auch sicher, dass diese regelmäßig installiert werden.
• Aktiviere immer eine Firewall - die in Windows integrierte reicht dazu vollkommen aus.
• Verwende immer ein Antivirenprogramm und stelle sicher, dass es sich regelmäßig aktualisiert.
  
  Wenn du kein Geld ausgeben möchtest, empfehle ich dir auf Windows 8.1 bzw. Windows 10 einfach den http://res1.windows.microsoft.com/re...7b7222e_14.png Defender zu benutzen. Solltest du noch Windows 7 verwenden, verwende als kostenlose Lösung die http://i1366.photobucket.com/albums/...psdnaytr4t.pngMicrosoft Security Essentials.
  
  Wenn dir etwas besserer Schutz mit Verhaltenserkennung etwas wert ist, um so auch optimalerweise ganz neue Schadsoftware zu erkennen, empfehle ich dir eine der beiden folgenden Lösungen:
  • http://filepony.de/icon/tiny/emsisoft_anti_malware.pngEmsisoft (25% Rabatt für Trojaner Board Mitglieder)
  • http://deeprybka.trojaner-board.de/eset/ESET_logo.pngESET Antivirus

Schutz vor unerwünschter Software
Adware ist zu einer Art permanenten Bedrohung geworden, weil immer mehr Programme versuchen, einem beim Installieren noch was anderes unterzujubeln - und wie schnell hat man da ein Häkchen übersehen?

Darum: pass auf, wenn du dir Software aus dem Internet herunterlädst! Viele Portale im Internet wie Chip, Softonic und Sourceforge versuchen häufig, dir Adware oder sonstige Downloader mit unerwünschten Programmen unterzujubeln. Downloade nach Möglichkeit immer direkt von der Herstellerseite oder alternativ von einem sauberen Download-Portal, wie von FilePony.de.
Lese dir dazu auch folgenden Artikel durch: CHIP-Installer - was ist das? - Anleitungen

Selbst wenn du ein Programm von einer seriösen Quelle heruntergeladen hast, ist das keine Garantie, dass dein Programm nicht doch versucht, unerwünschte Änderungen an deinem Computer vorzunehmen. So versuchen immer mehr Programme, durch modifizierte Installationsroutinen unerwünschte Programme mit auf deinen PC zu schleusen. Das klappt leider auch häufig, weil viele Anwender nicht lesen, was auf dem Bildschirm steht und stattdessen schnell durchklicken.
Deshalb: Wenn du ein Programm installierst, wähle immer die benutzerdefinierte Installation und schaue, was du da gerade eigentlich alles mit einem Klick auf "Ok" oder "Weiter" abnickst - entferne entsprechend die Haken bei Dingen, die du nicht möchtest. Wer lesen kann, ist klar im Vorteil!

Benutze keine Optimizer, Cleaner oder sonstige SpeedUp Wunder, da diese Tools fast nie einen auch nur messbaren Performancegewinn bringen.
Du kannst jedoch regelmäßig auf deinem PC die Datenträgerbereinigung ausführen, so gewinnst du belegten Speicherplatz zurück.

Aktiviere in deiner Virenschutzlösungen den "Schutz vor potentiell unerwünschter Software", um dich bestmöglich zu schützen.

Guter Trick: Wenn du den kostenlosen Windows Defender benutzt (ab Windows 8), kannst du einen vergleichbaren Schutz durch einen kleinen Trick auch nutzen! Lese dazu folgenden Artikel um dich mehr zu informieren: Windows mit verstecktem Adware-Killer
Zum aktivieren dieses "Tricks" lade einfach nur diese Datei und führe sie aus: MpEnablePlus.reg

Tipps, um dein System sicherer zu machen
Halte immer deine Plug-ins und Software, insbesondere deinen Browser aktuell. Deinstalliere wenn möglich Java und den Adobe Flashplayer von deinem Computer. Neuerdings benötigt man sie fast nie mehr und stellen darum nur mehr eine unnötige Sicherheitslücke auf deinem Computer dar. Wenn du sie doch unbedingt benötigst, halte sie aber unbedingt aktuell.


Passwörter
Ändere regelmäßig deine Passwörter! Zudem musst du sichere Passwörter benutzen, das bedeutet: mindestens 8 Zeichen, Groß- und Kleinbuchstaben und Sonderzeichen.
Ganz wichtig: benutze pro Account ein anderes Passwort!
Tipp: Benutze einen Spruch, den du dir leicht merken kannst, als Hilfe für ein Passwort! Zum Beispiel: Der Himmel ist blau und wenn es regnet?-grau ==> DHibuwer?-grau


Unterstütze uns und empfiehl uns weiter

Du kennst Freunde und Bekannte, die Probleme mit ihrem Computer haben? Schick sie doch zu uns auf das Trojaner Board, wir helfen gerne :daumenhoc

Wenn du uns mit einer Spende unterstützen möchtest, freuen wir uns sehr und dies kannst du hier tun: http://www.trojaner-board.de/79994-s...ndenkonto.html Herzlichen Dank dafür :party:

Wir machen diese Tätigkeit hier freiwillig, darum freue ich mich besonders über ein kurzes Danke, wenn du mit mir zufrieden warest oder sonst über Verbesserungsvorschläge - das kannst du gerne hier machen :)

Besuche und like unsere Facebook-Seite! http://3.bp.blogspot.com/--h4eLCX9kl...ike-symbol.png

:abklatsch: Danke für deine Mitarbeit und alles Gute! :abklatsch:

Bitte gib mir Bescheid, wenn du das alles gelesen hast und du keine weiteren Fragen mehr hast.

Hallo Rafael,

Vielen Dank für Deine Hilfe und Deine Gedud!

Fragen habe ich keine mehr. Ich habe alles gelesen und werde in Zukunft (noch) vorsichtiger sein!

Alles klar :)