Bitte um Prüfung meines Systems

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

  • Hallo Petra, hallo AHT,


    ich benötige eure Hilfe. Seit kurzem läuft mein Windows 8.1 (64-Bit) System aus irgendwelchen Gründen langsamer. Ich habe in einem anderen Thread nachgefragt wie man Windows aufräumen kann worauf der gute Günther mir die erweiterte Datenträgerbereinigung ans Herz legte. Leider ist das System weiterhin spürbar langsam. Vielleicht Adware oder Viren? Würde mich über Hilfe freuen. :)

  • Hallo Ad3LL,


    willkommen im Viren-Forum! Bei der Entfernung von Malware ist es wichtig, dass Du immer alle Punkte in der vorgegebenen Reihenfolge abarbeitest und keine Programme ohne Absprache installierst.


    Bitte alle anfallenden Punkte in einem Benutzerkonto mit Admin-Rechten durchführen, also nicht in einem Benutzerkonto mit eingeschränkten Rechten arbeiten.


    Stoppe und frage, wenn etwas nicht funktioniert oder unklar ist.


    Berichte mir zu jedem Punkt, dass Du ihn erledigt hast.


    Wenn Logdateien angefragt werden, kannst Du .txt-Dateien direkt hier im Forum hochladen => im Textfeld unten Dateianhänge anklicken => auf Hochladen klicken => Datei auswählen => Datei wird automatisch hochgeladen.



    ===== Punkt 1 =====


    Suchlauf mit Farbar Recovery Scan Tool im Normal-Modus


    Lade die passende Version von Farbar Recovery Scan Tool herunter FRST.exe (32-Bit) ::: FRST64.exe (64-Bit).
    Speichere das Tool auf Deinem Desktop (nicht woanders hin).
    Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier:
    Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp


    • Starte die FRST.exe respektive die FRST64.exe per Doppelklick -
      Vista- und Win7-Benutzer starten per Rechtsklick und wählen Als Administrator ausführen.
    • Mache Haken bei:
    • Registry
    • Internet
    • Shortcut.txt
    • Addition.txt
    • Akzeptiere den Disclaimer mit Yes und klicke Scan


    Das Tool erstellt drei Berichte namens FRST.txt, Shortcut.txt sowie Addition.txt im gleichen Pfad, in welchem sich die FRST.exe befindet. Lade die Berichte bitte hier im Forum als Anhang wie folgt hoch: => im Textfeld unten Dateianhänge anklicken => auf Hochladen klicken => Datei auswählen => die Datei wird automatisch hochgeladen.


    Hinweis:
    FRST wird aktuell häufig aktualisiert - neue Versionen werden automatisch heruntergeladen.
    Ältere Versionen werden in den Ordner FRST-OlderVersion verschoben.

  • Hallo Ad3LL,


    fangen wir mal so an:


    ===== Punkt 1 =====


    Mir ist aufgefallen, dass Du mehr als ein Antivirus-Programm mit Hintergrundwächter laufen hast (Avast und Comodo). Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Software.


    Zitat

    Speedy hat letztens eine einleuchtende Erklärung dazu geliefert: "Man stelle sich einen Torwart vor, der das Tor hüten soll (Anti-Virus-Programm), der Ball kommt angeflogen (Virus), der Torhüter konzentriert sich auf den Ball und fängt ihn. Jetzt stelle Dir zwei Torhüter im Tor vor ...., die knallen aneinander und der Ball kann ungehindert ins Tor wandern."

    Berichte, für welches Antivirus-Programm Du Dich entschieden hast.




    ===== Punkt 2 =====


    Wozu ist der TeamViewer bei Dir installiert?




    ===== Punkt 3 =====


    Programme/Dienste über msconfig aus dem Systemstart genommen?


    Du hast einige Prozesse und/oder Dienste über msconfig (oder ein ähnliches Programm) vom Systemstart ausgeschlossen. Das ist gefährlich, wenn es sich dabei um Schädlinge handelt, daher werden wir diese Einträge komplett entfernen. Gehe dazu wie folgt vor:

    • Start => ausführen.
    • msconfig (reinschreiben) => Enter drücken.
      Vista und Windows7-User schreiben msconfig ins Suchfeld => Enter drücken.
    • Es öffnet sich das Fenster des Systemkonfigurationsprogramms.
    • Wähle den Reiter Systemstart.
    • Mache einen Haken bei allen Einträgen.
    • Drücke OK.
    • Wähle den Reiter Dienste.
    • Mache einen Haken bei allen Einträgen.
    • Drücke OK.


    Nun sind alle Programme wieder aktiv und es kann beim Neustart zu Fehlermeldungen kommen, weil einzelne Programme bereits deinstalliert sind. Die Fehlermeldungen erstmal ignorieren. Nun schaust Du in den einzelnen Programmen selbst, ob Du das Programm über Einstellungen/Optionen davon abhalten kannst, bei jedem Systemstart mitzustarten. Programme, die Du gar nicht benötigst, deinstallierst Du über Systemsteuerung => Programme bzw. bei XP Systemsteuerung => Software. Einträge, die Du nicht beseitigen kannst, entfernen wir später mit FRST.

  • Punkt 1:


    Hallo Petra, es sind keine zwei Virenscanner, hierbei handelt es sich um die Comodo Firewall. :) Siehe auch >>>Hier<<<


    Punkt 2:


    TeamViewer ist aus privaten Gründen installariert, einmal um meiner Freunden Unterstützung zu geben und zu anderen damit ich mit dem Handy auf meinen Pc zugreifen kann.


    Punkt 3:


    Die deaktivierten Dienste etc. sind so gewollt, hierbei handelt es sich um Software von Razer, wie beispielsweise mein Headset, oder Teilen von Games. :)


    Sollte ich dies dennoch vornehmen?

  • Hallo Ad3LL,


    ach ich Dussel! Dass das nur die Firewall von Comodo ist, habe ich doch glatt überlesen.


    zu Punkt 3:


    Code
    MSCONFIG\Services: TeamViewer => 2
    HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched"
    HKLM\...\StartupApproved\Run32: => "VirtualCloneDrive"
    HKLM\...\StartupApproved\Run32: => "Kraken0502Launcher"
    HKLM\...\StartupApproved\Run32: => "Aeria Ignite"
    HKU\S-1-5-21-3381916376-284710054-3077337919-1001\...\StartupApproved\Run: => "CCleaner Monitoring"
    HKU\S-1-5-21-3381916376-284710054-3077337919-1001\...\StartupApproved\Run: => "FreeAC"
    HKU\S-1-5-21-3381916376-284710054-3077337919-1001\...\StartupApproved\Run: => "Steam"
    HKU\S-1-5-21-3381916376-284710054-3077337919-1001\...\StartupApproved\Run: => "Akamai NetSession Interface"



    zumindestens Java, VirtualConeDrive, Kraken0502Launcher, FreeAC und der CCleaner sind aber schon gar nicht mehr installiert, oder irre mich da?

  • Hallo Petra,


    kein Problem, sowas passiert jedem. :)


    Java und FreeAC sind deinstalliert. Den CCleaner nutze ich als portable Version. Kraken0502Luncher gehört zu meinem Razer-Headset. :)

  • Monitoring kann man anscheinend gar nicht in der portable Version nutzen.


    Was die Haken angeht muss ich dich leider enttäuschen, mir werden die Programme gar nicht angezeigt. :(

  • Hallo Ad3LL,


    ok, dann mache bitte folgendes:


    ===== Punkt 1 =====


    Scan mit SystemLook


    Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.


    Lade SystemLook von jpshortstuff von einer der folgenden Quellen herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).


    Downloadquelle #1 - Downloadquelle #2
    User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe

    • Doppelklick auf die SystemLook.exe, um das Tool zu starten.
      Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
    • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:


      :regfind
      StartupApproved


    • Klicke nun auf den Button Look, um den Scan zu starten.
    • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
    • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.


    ===== Punkt 2 =====


    Adware mit AdwCleaner beseitigen


    • Lade bitte AdwCleaner herunter und speichere ihn auf dem Desktop.


    • AdwCleaner ist geeignet für Windows XP/Vista/7/8 in 32- und 64-Bit-Versionen.


    • Starte die adwcleaner.exe mit einem Doppelklick.
      Vista- und Windows 7/8-User starten bitte per Rechtsklick auf das Icon und wählen "Als Administrator ausführen".
    • Klicke nun erst auf den Button Suchen
    • Wenn der Scan durchgelaufen ist und die Ergebnisse unter den einzelnen Reitern anzeigt, klicke auf den Button Löschen.
    • AdwCleaner macht Dich darauf aufmerksam, dass alle laufenden Programme geschlossen werden, damit die Bereinigung erfolgen kann.
      Also angefangene Arbeiten speichern und die Anwendung schließen.


    • Am Ende des Suchlaufs klicke auf Bericht, das öffnet eine Textdatei.
    • Lade bitte den Bericht als Dateianhang hoch.
    • Die Logdatei findest Du auch unter C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Hallo Petra,


    hier sind die Logs! Vom AdwCleaner habe ich dir beide Logs hochgeladen. Der eine zeigt vermutlich was er gefunden hat und der andere was gelöscht wurde. :)

  • Hallo Ad3LL,


    ok, dann bitte noch einmal Systemlook mit diesem Skript laufen lassen:



    :reg
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved /s
    HKEY_USERS\S-1-5-21-3381916376-284710054-3077337919-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved /s

  • Hallo Ad3LL,


    ===== Punkt 1 =====


    Fix mit Farbar Recovery Scan Tool


    Lade die angehängte fixlist.txt herunter und speichere die Datei im selben Pfad, in welchem sich die FRST(64).exe befindet.






    • Starte nun erneut die FRST.exe bzw. die FRST64.exe per Rechtsklick und wähle "Als Administrator ausführen", klicke dieses Mal auf den Fix Button.
    • Wenn der Fix durchgelaufen ist, meldet FRST "Fix completed".


    Das Tool erstellt eine Datei Fixlog.txt im gleichen Pfad. Lade bitte Fixlog.txt hier im Forum hoch.


    Hinweis für Mitleser: Das Skript ist individuell für diesen Computer angepasst und darf nicht auf anderen Systemen angewendet werden.

  • Hallo Petra,


    ja ich hatte den Fix zwei mal laufen, der Pc hat sich dank der Comodo Firewall aufgehangen, daraufhin wurde die Firewall deinstalliert und die Windows eigene wieder zum Einsatz genommen, anschließend ließ ich den Fix nochmals laufen.


    Gibt es Möglichkeiten alte Einträge in Zukunft selbst zu löschen?

  • Hallo Ad3LL,


    nein, dazu müsstest Du eine Schulung machen, um den Umgang mit FRST (oder einem ähnlichen Tool) zu erlernen. Bei solchen Fixes sollte man sehr genau wissen, was man tut. Das erfordert ein recht umfassendes Wissen über die Funktionsweise von Windows.


    Gib mir bitte einen Zwischenstand, wie der Computer jetzt läuft und welche Probleme er ggfs. noch macht.

  • Hallo Petra,


    der Pc hat sich nicht wirklich verändert. Vorhin hing der Browser enorm und auch Geforce Experience wollte nicht starten.

  • Hallo Ad3LL,


    welcher Browser ist gemeint? Sprich, mit welchem Browser bist Du gewöhnlich unterwegs?


    Geforce Experience: Meinst Du damit, dass sich das Programm gar nicht starten lässt?



    ===== Punkt 1 =====



    Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf)


    Lade Malwarebytes Anti-Malware Free (ca. 10 MB) von hier herunter.



      Anwendbar auf Windows XP, Vista, 7, 8 (32/64-Bit).
      Installiere das Programm in den vorgegebenen Pfad.
      Denke daran, bei Vista und Windows 7/8 das Programm per Rechtsklick auf das Icon als Administrator zu starten, ansonsten per Doppelklick starten.
      Stelle unter Settings => General Settings ggfs. die Sprache unter Language auf German um.
      Lasse es online updaten (Reiter Armaturenbrett => Datenbankversion => Jetzt aktualisieren, sofern sich das Programm bereits auf dem Rechner befand.
      Gehe zum Reiter Einstellungen und setze bei Erkennung und Schutz unter Erkennungsoptionen alle drei Haken, also auch bei Suche nach Rootkits.
      Aktiviere unter dem Reiter Suchlauf => Benutzerdefinierter Suchlauf und klicke auf den Button Suchlauf jetzt starten.
      Wähle alle verfügbaren Laufwerke und Bereiche aus und starte den Scan.
      Wenn der Scan beendet ist, werden alle Funde angezeigt.
      Funde in C:\System Volume Information nicht in Quarantäne schicken, sondern auf Ignorieren umstellen.[size=1].[/size]
      [size=1]Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren. Er könnte jedoch trotz Malware noch gebraucht werden.
      [/size]

      Lasse alle Funde in Quarantäne schicken und klicke auf Aktion anwenden.


      [Blockierte Grafik: http://bilder.cyscon.de/petra/mbamj.jpg]



      Nachträglich kannst du den Bericht unter Verlauf => Anwendungsprotokolle => Suchlauf-Protokolle finden. Doppelklick auf das Suchlauf-Protokoll und unten links als Exportieren => als Textdatei und als mbam.txt auf dem Desktop speichern.
      Stelle dem Helfer die Ergebnisse zur Verfügung.
      Berichte, wie der Rechner nun läuft.


    Hier findest Du eine ausführliche und bebilderte Anleitung.