Comp friert ein, Internet langsam,Google leitet falsch um, Antivir updated ni mehr...

Hallo!

WinXp Home, SP3, Quadcore, 2 GB Ram, Browser: Opera 11

Ich habe folgendes Problem:

Windows ist relativ frisch neu installiert und ich scheine mir schon wieder irgendwas "gefangen" zu haben.

1. Der Computer friert alle paar Stunden "aus dem Nichts" ein. Kein "Bluescreen". Die Maus lässt sich nicht mehr bewegen und auch sonst geht halt nichts mehr.

2. Internetverbindung ist ziemlich langsam. Alles dauert um ein Vielfaches länger als normalerweise.

3. Ich werde bei Klicks auf Google-Suchergebnisse immer auf irgendwelche anderen Seiten umgeleitet.

4. Wenn ich Javascript deaktiviere wird es sofort wieder aktiviert, ohne dass ich da was dran umstelle.

5. Antivir kann anscheinend seit heute kein Update mehr durchführen. Es kommt Keine Fehlermeldung deswegen.

Was kann das sein? Mit welchen Tools überprüfe ich das am Besten?

Hat jemand eine Idee?

Edit:

Ich habe mal mit Malwarebytes Anti-Malware und HijackThis eine Systemprüfung gemacht.

Es wurden verschiedene Dinge gefunden, wie man sieht.

Ich bin mir aber nicht sicher ob ich alles was gefunden wurde bei Anti-Malware auch löschen kann.

Bei HJT, sagt man ja, dass man da Leute mit Ahnung drüber gucken lassen soll. Das Prog findet ja auch
etlich Sachen, die kein Problem / keine Bedrohung darstellen. Aber die Funde überschneiden sich anscheinend wie es aussieht.

Kann ich die Anti-Malware Funde bedenkenlos löschen? Da steht ja was mit Winlogon. Da hab ich mir beim letzten Mal ein Riesenproblem eingehandelt, weil ich (bzw.) Antivir mir die echte winlogon.exe gelöscht hatte. Sollte sich die Winlogon.exe im Taskmanager befinden?

Was ist mit der csrss.exe? Die ist jedenfalls nicht im System32 Ordner von Windows, also löschen?
Ich habe diese Datei zwei Mal im Task Manager. Einmal under SYSTEM und einmal unter meinem Namen.

Ich bekomme auch ständig von Antivir Meldungen, dass in irgendwelchen temp. Dateien infizierte Dateien sind. Also bei dem "Live-Monitoring".

Mit welchen Programmen sollte ich den Comp noch scannen?

Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Datenbank Version: 5750

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

13.02.2011 09:13:31
mbam-log-2011-02-13 (09-13-28).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 127604
Laufzeit: 1 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
c:\dokumente und einstellungen\mr. truth\anwendungsdaten\dwm.exe (Trojan.Downloader) -> 2452 -> No action taken.
c:\dokumente und einstellungen\mr. truth\anwendungsdaten\microsoft\conhost.exe (Trojan.Downloader) -> 672 -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Downloader) -> Value: conhost -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Bot) -> Bad: (C:\DOKUME~1\MR1726~1.TRU\LOKALE~1\Temp\csrss.exe) Good: () -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

------------------------------

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 23:05:59, on 12.02.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)

Oh, da war ich nicht eingeloggt.

Also scheine ich - wie auch immer - ausspioniert zu werden?

Wie werde ich den Müll los?

Reicht es wenn ich die Funde von Anti-Malware löschen lasse?

Wie werde ich die ersten drei los? Reicht es wenn ich die mit Anti-Malware oder Hijackthis
löschen lasse oder bedarf es da einer anderen Vorgehensweise?

Was ist mit dem Winlogon?

Was ist mit diesen Dateien?

c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.4549686390623787.exe (Trojan.Dropper) -> No action taken.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\JVl57.tmp (Trojan.Downloader) -> No action taken.

Ich habe gestern nochmal einen Check mit Anti-Malware gemacht und da steht wohl tatsächlich was von der "syscheckrt.exe" drin. Das kam beim vorigen Scan nicht.

Wie konntest du das dann erkennen? Hier das log-file:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5750

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14.02.2011 09:38:26
mbam-log-2011-02-14 (09-38-22).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 127387
Laufzeit: 1 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Downloader) -> Value: conhost -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syscheckrt.exe (Spyware.Passwords.XGen) -> Value: syscheckrt.exe -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOKUME~1\MR1726~1.TRU\LOKALE~1\Temp\csrss.exe) Good: () -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\mr. truth\anwendungsdaten\microsoft\conhost.exe (Trojan.Downloader) -> No action taken.
c:\syscheckrt\syscheckrt.exe (Spyware.Passwords.XGen) -> No action taken.
c:\dokumente und einstellungen\xxx\anwendungsdaten\dwm.exe (Trojan.Downloader) -> No action taken.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.4549686390623787.exe (Trojan.Dropper) -> No action taken.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\JVl57.tmp (Trojan.Downloader) -> No action taken.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\csrss.exe (Trojan.Agent) -> No action taken.

Besser den Comp neu aufsetzen?

Danke! MAS

Auch das löschen, wo "winlogon" dabei steht?

Nicht dass der Comp hinterher nicht mehr hoch fährt.

Sorry, ich frag halt nur zur Sicherheit.

Habe alles gelöscht und die folgende Meldung bekommen:

"Bestimmte Objekte konnten nicht entfernt werden. Eine Logdatei wurde im Logdatei-Verzeichnis gespeichert. Der Computer muss neu gestartet werden, um den Entfernungsprozess abzuschließen...."

Das logfile war folgendermaßen:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5750

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14.02.2011 11:31:08
mbam-log-2011-02-14 (11-31-08).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 127387
Laufzeit: 1 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Die Ergebnisse vom PPF Scan poste ich gleich auch noch, der läuft grad und ich muss noch was erledigen.

Ich habe es sehr oft bei file-upload probiert.

Hat aber nicht geklappt.

Ich hoffe mediafire ist auch ok, da kann man ohne Wartezeit runterladen.

Drivers.txt - Drivers

Eventlog.txt - Eventlog

Files.txt - Files

Firewall.txt - Firewall

Hidden.txt - Hidden

MD5.txt - MD5

Modules.txt - Modules

ppFiles.txt - ppFiles

ppRegistry.txt - ppRegistry

Processes.txt - Processes

Scripting.txt - Scripting

Services.txt - Services

Warnings.txt - Warnings

MAS

Wow, ich bin begeistert.

Die syscheckrt.exe Datei ist unter C: nicht mehr
zu finden und Antivir updated auch wieder.

Ist es damit erledigt, oder kann sich noch was
anderes irgendwo verstecken?

Danke! MAS

Ja, kann sein, dass ich bei zwei Online-Versendern mal Bankdaten eingegeben habe, aber ich glaube auf dem anderen Computer, bin mir aber nicht sicher. Aber wenn war es auf jeden Fall, bevor ich diese Schädlinge aufm PC hatte.

Kann das programm die Bankdaten (falls vorhanden) aus Textdateien auslesen?

Hat das Programm evtl. dieses Passwort von der Seite hier und einigen Anderen beim Einloggen kopiert?

Ich mache kein Hombanking, jedoch ebay, wobei ich manchmal mit Paypal bezahlt habe.

Sollte ich nun Paypal- und Ebay- und Email-Passwörter ändern?

Nicht dass noch i-was drauf ist und sich die neuen Passwörter dann speichert.

Danke!

MAS

Was ist denn das für ein Treiber? Jraid?

Ich habe nichts mit Raid installiert.

Oder was anderes?

Mit welchem Tool macht man das denn am Besten?