Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab !

KarlKarl

Ich hoffe ja auch noch, dass wir das neue Unterforum "Trojaner - Angewandte Psychoanalyse" nicht brauchen werden Ich kann auch verstehen, dass es sein Reiz hätte, der Entdecker eines Supertrojaners zu sein (oder gar des Bundestrojaners?, wow).

Die Logs aus dem abgesicherten Modus sind leider nur von begrenztem Wert (ok, ne Spur besser als garnichts). Ähnlich sieht es mit den Rootkitscans aus, entweder sie gehen im abgesicherten Modus garnicht oder ihr Sinn und ihre Aussagekraft ist fraglich. Das sind Spezialscanner, die dauraf ausgelegt sind, im normalen Betriebsmodus von Windows nach Anomalien zu suchen, die ein Hinweis auf das Vorhandensein eines Rootkits sein können (nicht müssen!, da gibt es auch noch Daemon Tools, Security Sweets, Kopierschutztechniken, usw).

Nirgendwo in dem Thread sehe ich einen Hinweis auf einen Trojaner, das sind einzig deine Folgerungen. Heutzutage sind die Teile aber eigentlich so gut wie immer nicht mehr daraf angelegt die Anwender zu Ärgern und mit ihnen Psychospielchen zu spielen, sondern darauf, still und und unauffällig zu laufen und derweil die Arbeit möglichst umbemerkt zu tun, mit denen ihre Erschaffer/Käufer/Mieter ihr Geld verdienen.

Und wenn dann auch noch die auf einem (hoffentlich) sauberen Computer gebaute BartPE-CD abstürzt (auf dem anderen Computer tut sie das nicht?), dann spircht das noch mehr dafür, dass es keine Malware ist. BartPE ist gerade so gebaut, dass es startet ohne was auf der Festplatte vorauszusetzen, ich hab schon Computer mit BartPE gestartet, in denen war keine Festplatte drin (oder eine mit installiertem Linux). Man kann natürlich beim Bau der CD Sachen einbauen, die dann auf woanders gepsiecherte Dateien zugreifen, aber wenn Du das getan hättest, dann wüßtest du es ja auch.

Wenn man dann die verschiedenen Hardwarekomponenten durchgeht, dann kommt man zu Myrtilles Liste: Platte, Speicher, CPU, Board. Sind jedenfalls die üblichen Verdächtigen.

Für Platte spräche z.B., dass er bei Scans abstürzt. So ein Scan ist für eine Platte eine überdruschnittliche Belastung, dabei kann sie sich auch stärker erwärmen, so dass es möglich ist, dass eine Platte, die im Ruhebetrieb noch irgendwie es tut, dann Fehler erzeugt. Da kommt es dann drauf an, welche und wo. ein fehlerhaft aus der Swapdatei gelesener Block kann z.B. zum Bluescreen führen, aber auch nur zum Absturz einer Anwendung.

Und um deine Hardware mal genauer in Augenschein zu nehmen folgendes:

Als erstes alle eventuellen Tuningmaßnahmen an Takten, Frequenzen, Spannungen, usw. rückgängig machen: Alles so einstellen wie es der Hersteller der Komponenten vorgesehen hat. falls du solche Maßnahmen hattest, aber bitte mitteilen: Es kann sein, dass eine Overclocking-geschädigte CPU nicht mal mehr mit dem Originaltakt funktioniert.

Im von Myrtille empfohlenen Everst gibt es eine Sektion Sensoren, da kannst du die Temperatur und Spannungsverhältnisse in Echtzeit ansehen. Mach das einmal während du einen Komplettscan diener Platte startest und achte auf Veränderungen.

Dann mal chkdsk nutzen und mal das Dateisystem prüfen lassen. Unterhalb der logischen Ebene, auf physikalischer Ebene bietet sich dann Hdtune, Drive Fitness Test (etwas weiter untern auf der Seite, läuft auch mit den meisten Platten anderer Hersteller). Viele Plattenhersteller bieten weitere Testprogramme an.

Wenn Du ein schnelles Internet hast (einen anderen Computer hast Du ja), dann solltest Du mal drüber nachdenken, ob Du dir nicht Knoppix runterlädst. Die CD-Version reicht, bei DSL eigentlich schnell getan. Wenn Du von der CD dann startest, und bei der ersten Eingabe "memtest" (ohne "") eingibst startet ein Speichertest. Wenn Fehler gefunden werden, dann werden die im unteren Teil des Bildschirms angezeigt. Auf den drei Screenshots auf der Webseite sind keine Fehler angezeigt, da ist der untere Teil leer (abgesehen von der untersten Zeile). Es empfiehlt sich, diesen Test lange laufen zu lassen, da manche Fehler nur sporadisch auftreten, oder erst dann, wenn der Rechner Betriebstemperatur erreicht hat. Ich hatte mal einen Fall, da gab es die ersten Fehlermeldungen nach ca. 2 Tagen Dauerlauf, aber ein paar Stunden sollten für den ersten Anlauf ok sein, wichtig: Mindestens ein kompletter Pass.

Den gleichen in Knoppix integrierten Speichertest bekommst Du einzeln auch hier. Vorteil: deutlich kelinerer Download. Nachteil: beim größeren Download bekommst Du ein komplettes Betriebssystem mitgeliefert, das nichts mit Windows am Hut hat (seine Partiitonen aber lesen kann und seit einiger Zeit auch schreiben). Da wäre es natürlich interessant zu erfahren, wie sich das auf dem System verhält. Es ist übrigens möglich, die Linus-Version von Antivir in ein laufendes Knoppix zu installieren und damit dann zu scannen.

Wieviel Arbeitsspeicher ist in dem Rechner eingebaut? Mehr als ein Modul? Dann besteht die Möglichkeit, die Module reihum rauszunehmen un mit jeweils weniger Speicher zu testen. Auch kombinierbar mit memtest.