Comp friert ein, Internet langsam,Google leitet falsch um, Antivir updated ni mehr...

  • Hallo!


    WinXp Home, SP3, Quadcore, 2 GB Ram, Browser: Opera 11


    Ich habe folgendes Problem:


    Windows ist relativ frisch neu installiert und ich scheine mir schon wieder irgendwas "gefangen" zu haben.



    1. Der Computer friert alle paar Stunden "aus dem Nichts" ein. Kein "Bluescreen". Die Maus lässt sich nicht mehr bewegen und auch sonst geht halt nichts mehr.


    2. Internetverbindung ist ziemlich langsam. Alles dauert um ein Vielfaches länger als normalerweise.


    3. Ich werde bei Klicks auf Google-Suchergebnisse immer auf irgendwelche anderen Seiten umgeleitet.


    4. Wenn ich Javascript deaktiviere wird es sofort wieder aktiviert, ohne dass ich da was dran umstelle.


    5. Antivir kann anscheinend seit heute kein Update mehr durchführen. Es kommt Keine Fehlermeldung deswegen.




    Was kann das sein? Mit welchen Tools überprüfe ich das am Besten?



    Hat jemand eine Idee?




    Edit:



    Ich habe mal mit Malwarebytes Anti-Malware und HijackThis eine Systemprüfung gemacht.


    Es wurden verschiedene Dinge gefunden, wie man sieht.


    Ich bin mir aber nicht sicher ob ich alles was gefunden wurde bei Anti-Malware auch löschen kann.


    Bei HJT, sagt man ja, dass man da Leute mit Ahnung drüber gucken lassen soll. Das Prog findet ja auch
    etlich Sachen, die kein Problem / keine Bedrohung darstellen. Aber die Funde überschneiden sich anscheinend wie es aussieht.


    Kann ich die Anti-Malware Funde bedenkenlos löschen? Da steht ja was mit Winlogon. Da hab ich mir beim letzten Mal ein Riesenproblem eingehandelt, weil ich (bzw.) Antivir mir die echte winlogon.exe gelöscht hatte. Sollte sich die Winlogon.exe im Taskmanager befinden?


    Was ist mit der csrss.exe? Die ist jedenfalls nicht im System32 Ordner von Windows, also löschen?
    Ich habe diese Datei zwei Mal im Task Manager. Einmal under SYSTEM und einmal unter meinem Namen.


    Ich bekomme auch ständig von Antivir Meldungen, dass in irgendwelchen temp. Dateien infizierte Dateien sind. Also bei dem "Live-Monitoring".


    Mit welchen Programmen sollte ich den Comp noch scannen?




    Malwarebytes' Anti-Malware 1.50.1.1100
    http://www.malwarebytes.org


    Datenbank Version: 5750


    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512


    13.02.2011 09:13:31
    mbam-log-2011-02-13 (09-13-28).txt


    Art des Suchlaufs: Quick-Scan
    Durchsuchte Objekte: 127604
    Laufzeit: 1 Minute(n), 36 Sekunde(n)


    Infizierte Speicherprozesse: 2
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 4
    Infizierte Dateiobjekte der Registrierung: 1
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 5


    Infizierte Speicherprozesse:
    c:\dokumente und einstellungen\mr. truth\anwendungsdaten\dwm.exe (Trojan.Downloader) -> 2452 -> No action taken.
    c:\dokumente und einstellungen\mr. truth\anwendungsdaten\microsoft\conhost.exe (Trojan.Downloader) -> 672 -> No action taken.


    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)


    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)


    Infizierte Registrierungswerte:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Downloader) -> Value: conhost -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> No action taken.


    Infizierte Dateiobjekte der Registrierung:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Bot) -> Bad: (C:\DOKUME~1\MR1726~1.TRU\LOKALE~1\Temp\csrss.exe) Good: () -> No action taken.


    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)


    ------------------------------



    Logfile of Trend Micro HijackThis v2.0.4


    Scan saved at 23:05:59, on 12.02.2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)

    Einmal editiert, zuletzt von Volkmar ()

  • Nein, "nur" Paypal & ebay.


    Was kann man denn zu den log-files sagen?

  • Oh, da war ich nicht eingeloggt.


    Also scheine ich - wie auch immer - ausspioniert zu werden?



    Wie werde ich den Müll los?


    Reicht es wenn ich die Funde von Anti-Malware löschen lasse?

  • Du hast dir einen Trojan Donoader eingefangen. Der Trojaner, der bei dir gefunden wurde, holt sich also weitere Malware aus dem Netz nach.


    Der Troaner besteht aus drei Teilen, die sich die Starteinträge alle gegenseitig wieder herstellen:

    • CSRSS.EXE
    • CONHOST.EXE
    • DWM.EXE

    Unter Umtände hast du dir zusätzlich SYSCHECKRT.EXE eingeangen (Trojan Banker), eins der besten Usermode RootKits, die ich bislang gesehen habe. Das ist erst mal aber nur eine Vermutung.

  • Wie werde ich die ersten drei los? Reicht es wenn ich die mit Anti-Malware oder Hijackthis
    löschen lasse oder bedarf es da einer anderen Vorgehensweise?


    Was ist mit dem Winlogon?


    Was ist mit diesen Dateien?


    c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.4549686390623787.exe (Trojan.Dropper) -> No action taken.
    c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\JVl57.tmp (Trojan.Downloader) -> No action taken.




    Ich habe gestern nochmal einen Check mit Anti-Malware gemacht und da steht wohl tatsächlich was von der "syscheckrt.exe" drin. Das kam beim vorigen Scan nicht.


    Wie konntest du das dann erkennen? Hier das log-file:



    Malwarebytes' Anti-Malware 1.50.1.1100
    Malwarebytes


    Datenbank Version: 5750


    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512


    14.02.2011 09:38:26
    mbam-log-2011-02-14 (09-38-22).txt


    Art des Suchlaufs: Quick-Scan
    Durchsuchte Objekte: 127387
    Laufzeit: 1 Minute(n), 46 Sekunde(n)


    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 5
    Infizierte Dateiobjekte der Registrierung: 1
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 6


    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)


    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)


    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)


    Infizierte Registrierungswerte:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Downloader) -> Value: conhost -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syscheckrt.exe (Spyware.Passwords.XGen) -> Value: syscheckrt.exe -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> No action taken.


    Infizierte Dateiobjekte der Registrierung:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOKUME~1\MR1726~1.TRU\LOKALE~1\Temp\csrss.exe) Good: () -> No action taken.


    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)


    Infizierte Dateien:
    c:\dokumente und einstellungen\mr. truth\anwendungsdaten\microsoft\conhost.exe (Trojan.Downloader) -> No action taken.
    c:\syscheckrt\syscheckrt.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\dokumente und einstellungen\xxx\anwendungsdaten\dwm.exe (Trojan.Downloader) -> No action taken.
    c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.4549686390623787.exe (Trojan.Dropper) -> No action taken.
    c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\JVl57.tmp (Trojan.Downloader) -> No action taken.
    c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\csrss.exe (Trojan.Agent) -> No action taken.





    Besser den Comp neu aufsetzen?


    Danke! MAS

    Einmal editiert, zuletzt von Volkmar ()

  • Alle Funde von Malwarebytes löschen lassen.

    Dann:

    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • Danach die PPFScan.exe starten.
    • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
    • Wähle im Untermenü Script laden und ausführen.
    • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
    • Auf Nachfrage Dateien überschreiben lassen.
    • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

    Ich schaue mir die Ergebnisse vom PPFScanner an, mit dem Rest macht Markus weiter.

  • Habe alles gelöscht und die folgende Meldung bekommen:


    "Bestimmte Objekte konnten nicht entfernt werden. Eine Logdatei wurde im Logdatei-Verzeichnis gespeichert. Der Computer muss neu gestartet werden, um den Entfernungsprozess abzuschließen...."


    Das logfile war folgendermaßen:



    Malwarebytes' Anti-Malware 1.50.1.1100
    Malwarebytes


    Datenbank Version: 5750


    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512


    14.02.2011 11:31:08
    mbam-log-2011-02-14 (11-31-08).txt


    Art des Suchlaufs: Quick-Scan
    Durchsuchte Objekte: 127387
    Laufzeit: 1 Minute(n), 46 Sekunde(n)


    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 5
    Infizierte Dateiobjekte der Registrierung: 1
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 6


    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)


    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)


    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)




    Die Ergebnisse vom PPF Scan poste ich gleich auch noch, der läuft grad und ich muss noch was erledigen.

    Einmal editiert, zuletzt von Volkmar ()

  • Sieht schon mal gut aus. :)


    Jetzt:

    • PPFScan.exe starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
    Code
    CREATE_FOLDER->C:\PPFS_Sicherung
    COPY_FILE->C:\WINDOWS\System32\drivers\etc\hosts>C:\PPFS_Sicherung\hosts
    CREATE_BATCH_FILE->C:\WINDOWS\System32\drivers\etc\hosts
    WRITE_BATCH->127.0.0.1       localhost
    DELETE_FILE->C:\syscheckrt[size=10][COLOR=#0000ff]
    [size=10][COLOR=#0000ff][COLOR=black]EXECUTE->%SYSTEMROOT%\NOTEPAD.EXE "C:\WINDOWS\System32\drivers\etc\hosts"[/COLOR][/COLOR][/SIZE]
    [COLOR=#0000ff] 
    
    
    [/COLOR][/COLOR][/SIZE]


    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
    • Es öffnet sich dann eine Textdatei - den Inhalt hier einmal posten.
    • Starte dann den Rechner neu und überprüfe, ob sich AntiVir wieder updaten lässt.
  • Wow, ich bin begeistert.


    Die syscheckrt.exe Datei ist unter C: nicht mehr
    zu finden und Antivir updated auch wieder.



    Ist es damit erledigt, oder kann sich noch was
    anderes irgendwo verstecken?


    Danke! MAS

  • Alle Passwörter ändern (EBAY, EMAIL etc.).

    Das RootKit, dass du dir eingefangen hast, stielt Passwörter und Bankdaten.
    Sind bei dir weitere Rechner im Haus? Hast du auf diesem Rechner irgendwann irgendwelche Kontodaten eingegeben?
    Machst du von einem deiner Rechner aus Homebanking?

  • Ja, kann sein, dass ich bei zwei Online-Versendern mal Bankdaten eingegeben habe, aber ich glaube auf dem anderen Computer, bin mir aber nicht sicher. Aber wenn war es auf jeden Fall, bevor ich diese Schädlinge aufm PC hatte.


    Kann das programm die Bankdaten (falls vorhanden) aus Textdateien auslesen?


    Hat das Programm evtl. dieses Passwort von der Seite hier und einigen Anderen beim Einloggen kopiert?



    Ich mache kein Hombanking, jedoch ebay, wobei ich manchmal mit Paypal bezahlt habe.



    Sollte ich nun Paypal- und Ebay- und Email-Passwörter ändern?


    Nicht dass noch i-was drauf ist und sich die neuen Passwörter dann speichert.


    Danke!


    MAS

  • Noch was... Da passt etwas mit einem Treiber bei dir nicht:

    Code
    14.2.2011 11:35 Uhr 20s 
    Record #3790
    Computername->TRUTHINC
    Jraid:
    Error
    Der Treiber hat einen internen Fehler in seinen Datenstrukturen für (null) festgestellt.


    Treiber mal neu installieren.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!