|
Viren oder zu wenig Arbeitsspeicher? Hi, ich bin gerade dabei das Notebook von einer Freundin, die sich nicht wirklich mit PCs auskennt, aufzuraeumen. Betriebssystem ist Vista. Prozessor: 2 Gigahertz. 1024 MB Arbeitsspeicher. Das System ist sehr langsam. Ich gehe davon aus, dass da jede Menge Viren drauf sind. Schliesslich war da Norton drauf. Das habe ich deinstalliert und Antivir draufgepackt. ein vollstaendiger systemcheck hat allerdings keine Treffer gehabt. Nachdem ich diverse Autostartprogramme und unnuetzen Kram rausgeschmissen habe laeuft das System etwas besser. Es ist jedoch immer noch erbaermlich. Meine Frage ist nun, ob das an Viren liegt, oder daran, dass 1 GB Arbeitsspeicher etwas wenig ist fuer Vista. Hier das HijackThis-Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2Peter |
So mittlerweile hat Avira ein paar Mal Alarm geschlagen. Immer war es folgender Virus: TR/Crypt.XPACK.Gen2 Im Verzeichnis: C:\Windows\winsxs\Temp\PendingRenames\29e088dd0977ca01340900006813900e.x86_microsoft-windows-shlwapi_31bf3856ad364e35_6.0.6001.18000_none_f9d9b204a4aeeb4a_shlwapi.dll_1eec0a2e Merkwuerdig ist auch, dass das Windowsupdate seit mittlerweile einer Stunde versucht das Servicepack 1 zu installieren. Der Prozess scheint noch nicht beendet zu sein, obwohl der Balken zu 100% geladen ist. Ich habe das Gefuehl, dass das ein richtiger Seuchen-PC ist. |
Nun ist mir noch etwas aufgefallen. Der Taskmanager zeigt eine Speicherauslastung von ueber 800 MB an. Dabei laeuft nur der Browser. Und wenn ich bei Prozessen die Zahlen addiere (Schaetzwert) dann komme ich nicht mal auf 200MB. Da scheint also irgendwas im Hintergrund zu sein, oder wie muss ich das deuten. Waere schoen, wenn jemand ne Idee hat. Und sei es nur die Bestaetigung, dass ich das System neu aufsetzen muss. Ab und an bleibt uebrigens das Bild stehen und es dauert dann bis zu ner Minute, bis es wieder weiter geht. |
Hi, 1GB ist definitiv zu wenig für Vista. Weiterhin musst du im Taskmanager auf "Prozesse aller Benutzer anzeigen" klicken... Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
So nun habe ich alles gemacht. Was bedeuten die Ergebnisse? MAM hatte keine Treffer: Code: Malwarebytes' Anti-Malware 1.42Log: Code: Logfile of random's system information tool 1.06 (written by random/random)Code: info.txt logfile of random's system information tool 1.06 2009-12-07 15:43:37GMER: Code: GMER 1.0.15.15272 - http://www.gmer.net |
Ein weiteres Problem: Windows versucht staendig Updates zu machen. Zweimal wurde bereits das Service Pack 1 installiert. Dann kam die Aufforderung den PC neu zu starten. Dies dauerte dann ewig und schliesslich erfaehrt man, dass das Update nicht korrekt installiert wurde. Wie gesagt, zwei mal habe ich das jetzt durchexerziert. Jetzt zeigt der mir mittlerweile 5 Updates an und versucht diese herunterzuladen. Da passiert aber nichts. Seit nunmehr 10 Minuten steht da 0KB heruntergeladen. Finde ich sehr merkwuerdig. |
Hi, hast Du Gmer einen kompletten Scan machen lassen, oder ist das Log vom automatischen Scan beim Start von Gmer? Was ist das für ein File: C:\Users\mobagher\Downloads\mobagher.exe ? Wir müssen noch ein Stück tiefer bohren... (Bis jetzt nicht gefunden ev. Rootkit...) Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weiterhin hängt noch eine Fileoperation die von Windows beim Booten durchgeführt werden sollte (und bei dem der Virenscanner angeschlagen hat). Wahrscheinlich verhindert das den Update... http://www.netzwelt.de/forum/windows...e80073712.html http://windows.microsoft.com/en-US/w...error-80070002 System Reparieren: Lade Dir "Advanced Windowscare Professional" von folgender Adresse: http://www.iobit.com/advancedwindows...l?Str=download Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen. Erstelle einen Systemwiederherstellungspunkt (Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen. Führe dann einen Update der Signatur/Reperaturdateien aus. Lasse dann das gesamte System scannen und Bereinigen sowie Immunisieren. Damit werden einige Einträge wieder gerade gebogen, die von Trojaneren/Viren verbogen worden sind.. chris |
GMER war ein kompletter Scan. Beim Start hatte der nichts gefunden. mobagher.exe kann ich gar nicht finden ueber den Explorrer. mobagher ist der Computername. Falls das weiterhilft. Hier ist jetzt das Logfile von Combofix: Code: ComboFix 09-12-07.07 - mobagher 07/12/2009 23:06.1.1 - x86Danke uebrigens fuer deine gruendliche Hilfe. Glaubst du denn da ist noch was? Dieses Advanced Systemcare Pro kostet aber etwas. Geht auch die free Variante??? Ich moeche mich auch nicht so gerne mei irgend nem Service anmelden, um es umsonst zu kriegen. Ich werde jetzt einfach die Free variante nehmen. Geht das mit der überhaupt. Ich habe da son bisschen Probleme mit dem Programm. Habe jetzt einfach auf Los gedrückt. Der findet auch überall Probleme, die er dann löst. Klasse. Aber isses das schon? |
Hi, Combofix hat was im Papierkorb gelöscht und noch eine ini... Allerdings sind Securityeinstellungen verbogen worden: [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 Wenn Du Dich mit regedit auskennst, kannst Du sie löschen ansonsten zimmere ich ein entsprechendes combifix-script zusammen... Lass noch mal HJ laufen und poste das Log, mal sehen ob die mobagher.exe noch da ist, dann schauen wir sie mal genauer an... Bist Du mit den hängenden Updates weitergekommen? Gmer meldet Veränderungen am MBR, daher wie folgt vorgehen: MBR-Rootkit Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Falls er was meldet folge den Anweisungen von MBR, wenn das nicht klappt, brauchen wir eine Boot-CD mit Rettungskonsole (die starten, in die CommandShell gehen und dort fixmbr eingeben... Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
Regedit hoere ich zum ersten Mal. HiJack Log: Code: Logfile of Trend Micro HijackThis v2.0.2Jetzt habe ich mbr laufen lassen. Das Ergebnis ist allerdings nicht das erwartete: Code: device: opened successfully |
Hallo, von Vista-Cd booten und den MBR zurechtbiegen: Von CD/DVD booten, in die Rettungskonsole gehen und dort fixmbr eingeben... CD/DVD raus und normal booten... Gibt es einen errorcode von update? Was passiert wenn DU sie per hand anschmeisst? chris |
Zum Update: Ne, der sucht und sucht und sucht nach Updates. Findet aber nichts. Aber er findet auch nicht nichts. Also es kommt keine Meldung, dass es keine Updates gibt. Edit: Huch, jetzt installiert er ploetzlich doch Updates. Tja die Boot-CD habe ich leider nicht. Ich habe nur eine von nem anderen baugleichen Notebook. War damals son Angebot, dass es guenstiger wurde, wenn man zwei kauft, und deshalb haben wir nun beide das gleiche. Die CD duerfte doch dann nicht gehen oder? Seriennummer und so... Ich probier es einfach mal aus. |
Ich habe jetzt mal neu hochgefahren und F8 gedrückt. Dort habe ich dann den Reparaturmodus oder so ähnlich ausgeführt. Jetzt bin ich bei den System Recovery Options. Ich schreibe grad von meinem anderen Notebook. Es gibt nun mehrere Optionen: Code: Startup RepairWas soll ich machen? Edit: fixmbr in der Commandobox geht nicht. Ich konnte ja auch nicht von der CD booten. Ist ja auch die von dem anderen Notebook. Aber es wurde beim booten (drei Versuche) nie die Option angezeigt von CD zu booten. Normalerweise ist im BIOS doch eingestellt, dass CDs Priorität haben. Ich habe versucht das zu checken, komme aber nicht ins BIOS. Bisher habe ich das auch erst bei WinXP gemacht. War da irgendwie einfacher. |
Hi, ok, dann probieren wir mal das hier: http://www.sysint.no/nedlasting/mbrfix.htm Aufruf: MbrFix /drive 0 fixmbr /vista Achtung: Hast Du die mbr.exe als Administrator ausgeführt? Die CMD die Du aufmachst, muss Adminrechte haben... chris |
nun habe ich mbr.exe mit Adminrechten ausgefuehrt. Hat dann auch den erwarteten Text angezeigt. Aber ein Logfile hat es nicht erstellt. FixMbr hat auch geklappt: http://lh3.ggpht.com/_Qu2k7Eypil8/Sx...screenshot.jpg Auf einmal ist der Rechner richtig schnell. Das ist ja der Wahnsinn. Ich habe das gefuehl die Probleme sind behoben. Oder siehst du noch irgendwelche? Erstmal ein ganz fettes Dankeschoen fuer die gute Hilfe. Echt krass, was du da an Geschuetzen aufgefahren hast. Sag mal, wo lernt man das eigentlich alles. Ich mein, als normaler User lernt man mit der Zeit ja auch viele Probleme zu loesen. Aber die ganzen Operationen, die du mir angeordnet hast, gingen dann doch ueber mein Wissen weit hinaus. Vielen Dank noch mal, Peter |
Hi, war ein Teil was sich im MBR versteckt hatte... Das Problem ist Remote rauszukriegen, wo sich was versteckt hat und es dann auch wegzubekommen. Und Leider werden die Damen und Herren Häcker immer schlauer... Mittlerweile findet man durch die üblichen Tools nur noch selten was, die graben sich immer tiefer in die Systeme ein... Du solltest auf jeden Fall MAM noch mal updaten und im Fullscannmodus über die Festplatte jagen (für den Fall, dass was nachgezogen worden ist)... chris |
Heißt das das war nur ein einziger Virus? Ich hatte ja eher mit nem ganzen Packen gerechnet. Ich weiß, dass ich mal auf meinem 98er um die 60 Viren und 10 Trojaner hatte. Damals war ich sehr unvorsichtig und hatte glaube ich auch kein Antivierenprogramm. Aber nur ein Virus, der das ganze System lahmlegt? Was bringt es so nem Hacker eigentlich, dass mein System langsam ist? Kann man eigentlich herausfinden, wie der draufgekommen ist, und wie man das in Zukunft verhindert? Auf dem System war ja Norton installiert, und das gilt ja nicht als das sicherste Programm. Aber ist es mit Avira jetzt gegen solche Angriffe besser geschützt? MAM läuft übrigens noch. |
Hi, die meisten Sachen holt man sich selber (Cracks, Keygens etc.) oder mit einem Drive-by-Download (eine koschere Seite wird mit einem versteckten iFrame verseucht, Du schaust Dir die Seite an und Zack bekommst Du hintenrum besuch http://de.wikipedia.org/wiki/Drive-by-Download) (hab so einen Fall hier, verseuchte Seite eines Sanitärhändlers). Wenn Du Glück hast springt der Guard an wenn nicht, war es das... Von dem her ist es sehr schwer zu erkennen wo und wie das jetzt auf den Rechner kam. Langsam wird der Rechner durch die Aktivitäten die die Malware entfacht, geht vom Spamboot über Keylogger (Bankdaten etc.), Googleseiten umbiegen bis zum unbrauchbar machen des Rechners (Fileinfektor)... Ich würde daher Avira mit einem verhaltensbasiertem Scanner kombinieren, dazu bietet sich Threadfire (http://www.threatfire.com/de/) an, damit habe ich eigentlich gute Erfahrungen. Setzt aber ein bisschen Know-How voraus, falls Threadfire was entdeckt und meldet, sollte man es einordnen können (so wird z.B. bei der Installation von MAM eine versteckte Treiberinstallation gemeldet, die sollte man abnicken, wenn man ein verseuchtes Worddokument öffnet und die Meldung kommt, dann wohl besser nicht ;o)... chris Ps.: und nein, ich bekomme leider keine Tandiemen von Avira oder Threadfire etc... :o)))))) |
So, jetzt ist MBR durchgelaufen: Code: Malwarebytes' Anti-Malware 1.42Ich werde dann noch mal Threadfire draufpacken. |
Hi, Okay, dann noch schöne Weihnachten! Chris&Out |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board