1. Artikel
  2. Mitglieder
    1. Letzte Aktivitäten
    2. Benutzer online
    3. Team
    4. Mitgliedersuche
  3. Forum
  • Anmelden
  • Registrieren
  • Suche
Dieses Thema
  • Alles
  • Dieses Thema
  • Dieses Forum
  • Artikel
  • Seiten
  • Forum
  • Erweiterte Suche
  1. Paules-PC-Forum.de
  2. Forum
  3. PC-Sicherheit
  4. Viren-Forum

Comp friert ein, Internet langsam,Google leitet falsch um, Antivir updated ni mehr...

  • MAS
  • 12. Februar 2011 um 21:52
  • MAS
    Profi
    Reaktionen
    47
    Beiträge
    622
    • 12. Februar 2011 um 21:52
    • #1

    Hallo!

    WinXp Home, SP3, Quadcore, 2 GB Ram, Browser: Opera 11

    Ich habe folgendes Problem:

    Windows ist relativ frisch neu installiert und ich scheine mir schon wieder irgendwas "gefangen" zu haben.


    1. Der Computer friert alle paar Stunden "aus dem Nichts" ein. Kein "Bluescreen". Die Maus lässt sich nicht mehr bewegen und auch sonst geht halt nichts mehr.

    2. Internetverbindung ist ziemlich langsam. Alles dauert um ein Vielfaches länger als normalerweise.

    3. Ich werde bei Klicks auf Google-Suchergebnisse immer auf irgendwelche anderen Seiten umgeleitet.

    4. Wenn ich Javascript deaktiviere wird es sofort wieder aktiviert, ohne dass ich da was dran umstelle.

    5. Antivir kann anscheinend seit heute kein Update mehr durchführen. Es kommt Keine Fehlermeldung deswegen.


    Was kann das sein? Mit welchen Tools überprüfe ich das am Besten?


    Hat jemand eine Idee?


    Edit:


    Ich habe mal mit Malwarebytes Anti-Malware und HijackThis eine Systemprüfung gemacht.

    Es wurden verschiedene Dinge gefunden, wie man sieht.

    Ich bin mir aber nicht sicher ob ich alles was gefunden wurde bei Anti-Malware auch löschen kann.

    Bei HJT, sagt man ja, dass man da Leute mit Ahnung drüber gucken lassen soll. Das Prog findet ja auch
    etlich Sachen, die kein Problem / keine Bedrohung darstellen. Aber die Funde überschneiden sich anscheinend wie es aussieht.

    Kann ich die Anti-Malware Funde bedenkenlos löschen? Da steht ja was mit Winlogon. Da hab ich mir beim letzten Mal ein Riesenproblem eingehandelt, weil ich (bzw.) Antivir mir die echte winlogon.exe gelöscht hatte. Sollte sich die Winlogon.exe im Taskmanager befinden?

    Was ist mit der csrss.exe? Die ist jedenfalls nicht im System32 Ordner von Windows, also löschen?
    Ich habe diese Datei zwei Mal im Task Manager. Einmal under SYSTEM und einmal unter meinem Namen.

    Ich bekomme auch ständig von Antivir Meldungen, dass in irgendwelchen temp. Dateien infizierte Dateien sind. Also bei dem "Live-Monitoring".

    Mit welchen Programmen sollte ich den Comp noch scannen?


    Malwarebytes' Anti-Malware 1.50.1.1100
    http://www.malwarebytes.org

    Datenbank Version: 5750

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    13.02.2011 09:13:31
    mbam-log-2011-02-13 (09-13-28).txt

    Art des Suchlaufs: Quick-Scan
    Durchsuchte Objekte: 127604
    Laufzeit: 1 Minute(n), 36 Sekunde(n)

    Infizierte Speicherprozesse: 2
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 4
    Infizierte Dateiobjekte der Registrierung: 1
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 5

    Infizierte Speicherprozesse:
    c:\dokumente und einstellungen\mr. truth\anwendungsdaten\dwm.exe (Trojan.Downloader) -> 2452 -> No action taken.
    c:\dokumente und einstellungen\mr. truth\anwendungsdaten\microsoft\conhost.exe (Trojan.Downloader) -> 672 -> No action taken.

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Downloader) -> Value: conhost -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> No action taken.

    Infizierte Dateiobjekte der Registrierung:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Bot) -> Bad: (C:\DOKUME~1\MR1726~1.TRU\LOKALE~1\Temp\csrss.exe) Good: () -> No action taken.

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    ------------------------------


    Logfile of Trend Micro HijackThis v2.0.4

    Scan saved at 23:05:59, on 12.02.2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)

    Einmal editiert, zuletzt von Volkmar (15. Mai 2018 um 18:33)

  • markusg
    Premium-Mitglied
    Beiträge
    8.069
    • 13. Februar 2011 um 17:54
    • #2

    machst du onlinebanking /einkäufe?

  • Unregistriert
    Gast
    • 13. Februar 2011 um 18:52
    • #3

    Nein, "nur" Paypal & ebay.

    Was kann man denn zu den log-files sagen?

  • MAS
    Profi
    Reaktionen
    47
    Beiträge
    622
    • 13. Februar 2011 um 19:44
    • #4

    Oh, da war ich nicht eingeloggt.

    Also scheine ich - wie auch immer - ausspioniert zu werden?


    Wie werde ich den Müll los?

    Reicht es wenn ich die Funde von Anti-Malware löschen lasse?

  • AxT
    Premium-Mitglied
    Reaktionen
    2.978
    Beiträge
    33.384
    • 14. Februar 2011 um 07:32
    • #5

    Du hast dir einen Trojan Donoader eingefangen. Der Trojaner, der bei dir gefunden wurde, holt sich also weitere Malware aus dem Netz nach.

    Der Troaner besteht aus drei Teilen, die sich die Starteinträge alle gegenseitig wieder herstellen:

    • CSRSS.EXE
    • CONHOST.EXE
    • DWM.EXE

    Unter Umtände hast du dir zusätzlich SYSCHECKRT.EXE eingeangen (Trojan Banker), eins der besten Usermode RootKits, die ich bislang gesehen habe. Das ist erst mal aber nur eine Vermutung.

  • MAS
    Profi
    Reaktionen
    47
    Beiträge
    622
    • 14. Februar 2011 um 09:36
    • #6

    Wie werde ich die ersten drei los? Reicht es wenn ich die mit Anti-Malware oder Hijackthis
    löschen lasse oder bedarf es da einer anderen Vorgehensweise?

    Was ist mit dem Winlogon?

    Was ist mit diesen Dateien?

    c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.4549686390623787.exe (Trojan.Dropper) -> No action taken.
    c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\JVl57.tmp (Trojan.Downloader) -> No action taken.


    Ich habe gestern nochmal einen Check mit Anti-Malware gemacht und da steht wohl tatsächlich was von der "syscheckrt.exe" drin. Das kam beim vorigen Scan nicht.

    Wie konntest du das dann erkennen? Hier das log-file:


    Malwarebytes' Anti-Malware 1.50.1.1100
    Malwarebytes

    Datenbank Version: 5750

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    14.02.2011 09:38:26
    mbam-log-2011-02-14 (09-38-22).txt

    Art des Suchlaufs: Quick-Scan
    Durchsuchte Objekte: 127387
    Laufzeit: 1 Minute(n), 46 Sekunde(n)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 5
    Infizierte Dateiobjekte der Registrierung: 1
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 6

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Downloader) -> Value: conhost -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syscheckrt.exe (Spyware.Passwords.XGen) -> Value: syscheckrt.exe -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> No action taken.

    Infizierte Dateiobjekte der Registrierung:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOKUME~1\MR1726~1.TRU\LOKALE~1\Temp\csrss.exe) Good: () -> No action taken.

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    c:\dokumente und einstellungen\mr. truth\anwendungsdaten\microsoft\conhost.exe (Trojan.Downloader) -> No action taken.
    c:\syscheckrt\syscheckrt.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\dokumente und einstellungen\xxx\anwendungsdaten\dwm.exe (Trojan.Downloader) -> No action taken.
    c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.4549686390623787.exe (Trojan.Dropper) -> No action taken.
    c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\JVl57.tmp (Trojan.Downloader) -> No action taken.
    c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\csrss.exe (Trojan.Agent) -> No action taken.


    Besser den Comp neu aufsetzen?

    Danke! MAS

    Einmal editiert, zuletzt von Volkmar (15. Mai 2018 um 18:34)

  • AxT
    Premium-Mitglied
    Reaktionen
    2.978
    Beiträge
    33.384
    • 14. Februar 2011 um 09:47
    • #7

    Alle Funde von Malwarebytes löschen lassen.

    Dann:

    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • Danach die PPFScan.exe starten.
    • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
    • Wähle im Untermenü Script laden und ausführen.
    • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
    • Auf Nachfrage Dateien überschreiben lassen.
    • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

    Ich schaue mir die Ergebnisse vom PPFScanner an, mit dem Rest macht Markus weiter.

  • MAS
    Profi
    Reaktionen
    47
    Beiträge
    622
    • 14. Februar 2011 um 10:56
    • #8

    Auch das löschen, wo "winlogon" dabei steht?

    Nicht dass der Comp hinterher nicht mehr hoch fährt.


    Sorry, ich frag halt nur zur Sicherheit.

  • AxT
    Premium-Mitglied
    Reaktionen
    2.978
    Beiträge
    33.384
    • 14. Februar 2011 um 10:59
    • #9

    Ja, ist ein Starteintrag.

  • MAS
    Profi
    Reaktionen
    47
    Beiträge
    622
    • 14. Februar 2011 um 13:27
    • #10

    Habe alles gelöscht und die folgende Meldung bekommen:

    "Bestimmte Objekte konnten nicht entfernt werden. Eine Logdatei wurde im Logdatei-Verzeichnis gespeichert. Der Computer muss neu gestartet werden, um den Entfernungsprozess abzuschließen...."

    Das logfile war folgendermaßen:


    Malwarebytes' Anti-Malware 1.50.1.1100
    Malwarebytes

    Datenbank Version: 5750

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    14.02.2011 11:31:08
    mbam-log-2011-02-14 (11-31-08).txt

    Art des Suchlaufs: Quick-Scan
    Durchsuchte Objekte: 127387
    Laufzeit: 1 Minute(n), 46 Sekunde(n)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 5
    Infizierte Dateiobjekte der Registrierung: 1
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 6

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)


    Die Ergebnisse vom PPF Scan poste ich gleich auch noch, der läuft grad und ich muss noch was erledigen.

    Einmal editiert, zuletzt von Volkmar (15. Mai 2018 um 18:35)

  • MAS
    Profi
    Reaktionen
    47
    Beiträge
    622
    • 14. Februar 2011 um 16:53
    • #11

    Ich habe es sehr oft bei file-upload probiert.

    Hat aber nicht geklappt.

    Ich hoffe mediafire ist auch ok, da kann man ohne Wartezeit runterladen.


    Drivers.txt - Drivers

    Eventlog.txt - Eventlog

    Files.txt - Files

    Firewall.txt - Firewall

    Hidden.txt - Hidden

    MD5.txt - MD5

    Modules.txt - Modules

    ppFiles.txt - ppFiles

    ppRegistry.txt - ppRegistry

    Processes.txt - Processes

    Scripting.txt - Scripting

    Services.txt - Services

    Warnings.txt - Warnings


    MAS

  • AxT
    Premium-Mitglied
    Reaktionen
    2.978
    Beiträge
    33.384
    • 14. Februar 2011 um 17:22
    • #12

    Sieht schon mal gut aus. :)

    Jetzt:

    • PPFScan.exe starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
    Code
    CREATE_FOLDER->C:\PPFS_Sicherung
    COPY_FILE->C:\WINDOWS\System32\drivers\etc\hosts>C:\PPFS_Sicherung\hosts
    CREATE_BATCH_FILE->C:\WINDOWS\System32\drivers\etc\hosts
    WRITE_BATCH->127.0.0.1       localhost
    DELETE_FILE->C:\syscheckrt[size=10][COLOR=#0000ff]
    [size=10][COLOR=#0000ff][COLOR=black]EXECUTE->%SYSTEMROOT%\NOTEPAD.EXE "C:\WINDOWS\System32\drivers\etc\hosts"[/COLOR][/COLOR][/SIZE]
    [COLOR=#0000ff] 
    
    
    [/COLOR][/COLOR][/SIZE]
    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
    • Es öffnet sich dann eine Textdatei - den Inhalt hier einmal posten.
    • Starte dann den Rechner neu und überprüfe, ob sich AntiVir wieder updaten lässt.
  • MAS
    Profi
    Reaktionen
    47
    Beiträge
    622
    • 14. Februar 2011 um 17:44
    • #13

    Wow, ich bin begeistert.

    Die syscheckrt.exe Datei ist unter C: nicht mehr
    zu finden und Antivir updated auch wieder.


    Ist es damit erledigt, oder kann sich noch was
    anderes irgendwo verstecken?

    Danke! MAS

  • AxT
    Premium-Mitglied
    Reaktionen
    2.978
    Beiträge
    33.384
    • 14. Februar 2011 um 17:51
    • #14

    Alle Passwörter ändern (EBAY, EMAIL etc.).

    Das RootKit, dass du dir eingefangen hast, stielt Passwörter und Bankdaten.
    Sind bei dir weitere Rechner im Haus? Hast du auf diesem Rechner irgendwann irgendwelche Kontodaten eingegeben?
    Machst du von einem deiner Rechner aus Homebanking?

  • MAS
    Profi
    Reaktionen
    47
    Beiträge
    622
    • 14. Februar 2011 um 18:17
    • #15

    Ja, kann sein, dass ich bei zwei Online-Versendern mal Bankdaten eingegeben habe, aber ich glaube auf dem anderen Computer, bin mir aber nicht sicher. Aber wenn war es auf jeden Fall, bevor ich diese Schädlinge aufm PC hatte.

    Kann das programm die Bankdaten (falls vorhanden) aus Textdateien auslesen?

    Hat das Programm evtl. dieses Passwort von der Seite hier und einigen Anderen beim Einloggen kopiert?


    Ich mache kein Hombanking, jedoch ebay, wobei ich manchmal mit Paypal bezahlt habe.


    Sollte ich nun Paypal- und Ebay- und Email-Passwörter ändern?

    Nicht dass noch i-was drauf ist und sich die neuen Passwörter dann speichert.

    Danke!

    MAS

  • AxT
    Premium-Mitglied
    Reaktionen
    2.978
    Beiträge
    33.384
    • 14. Februar 2011 um 18:19
    • #16

    Ja, Passwörter ändern.

  • AxT
    Premium-Mitglied
    Reaktionen
    2.978
    Beiträge
    33.384
    • 14. Februar 2011 um 18:35
    • #17

    Noch was... Da passt etwas mit einem Treiber bei dir nicht:

    Code
    14.2.2011 11:35 Uhr 20s 
    Record #3790
    Computername->TRUTHINC
    Jraid:
    Error
    Der Treiber hat einen internen Fehler in seinen Datenstrukturen für (null) festgestellt.


    Treiber mal neu installieren.

  • MAS
    Profi
    Reaktionen
    47
    Beiträge
    622
    • 14. Februar 2011 um 18:47
    • #18

    Was ist denn das für ein Treiber? Jraid?

    Ich habe nichts mit Raid installiert.


    Oder was anderes?

  • AxT
    Premium-Mitglied
    Reaktionen
    2.978
    Beiträge
    33.384
    • 14. Februar 2011 um 18:58
    • #19

    Ja, Festplattencontroller dürfte das sein.
    Überprüfe mal zuerst deine Platte auf Fehler.

  • MAS
    Profi
    Reaktionen
    47
    Beiträge
    622
    • 14. Februar 2011 um 19:00
    • #20

    Mit welchem Tool macht man das denn am Besten?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden

Windows 11

  1. Datenschutzerklärung
  2. Impressum
Community-Software: WoltLab Suite™