|
Systemstörung in Windows 7 - langsamer Rechner und Norton außer Betrieb Hallo, bitte um Hilfe. Durch irgendeinen Mis-Klick (obwohl ich eigentlich dachte, gut aufzupassen) habe ich mir wohl was eingefangen. Der Computer arbeitet extrem langsam und einige Programme (wie Norton oder AV Antivirus) lassen sich beispielsweise gar nicht mehr aufrufen. Im Task Manager tut sich manches, was ich nicht interpretieren kann. Nun hab' ich Windows 7, und dafür ist lt. Chip HijackThis gar nicht kompatibel. Aber einen Logfile konnte ich dennoch erstellen. Vielleicht kann mir jemand einen heißen Tipp geben? Danke im Voraus! Code: Logfile of Trend Micro HijackThis v2.0.2 |
Keine Antwort - Keiner eine Idee? So kann's aber nicht bleiben, leider. Ich bitte Euch alle noch einmal um Hilfe. Grüße vom Labbeduddel |
Hallo zusammen. Ich hatte in diesem Forum schon öfter um Hilfe gebeten und immer erhalten. Dass sich gar keiner meldet, ist mir noch nicht passiert. Liegt das an Windows 7? In meiner Verzweiflung habe ich erstmal alle Dateien gesichert (da könnte der Bösewicht natürlich dabei sein) und dann das MAM ausprobiert. Hier das entsprechende Logfile. War das nun was? Darf ich hoffen, clean zu sein? Code: Malwarebytes' Anti-Malware 1.43Grüße vom Labbeduddel |
Hi, das HJ-Log ist bis auf 2SaveTubeVideo" unauffällig, und dem ist ja schon MAM zu leibe gerückt... Sicherheitshalber kannst Du das Verzeichnis "C:\Program Files (x86)\Save Tube Video Company" löschen... Brauche mehr Infos, daher: RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Vielen Dank Chris, für Deine Hilfe. Hier das RSIT Logfile. Der Vorgang wurde mit der Fehlermeldung (weißnichtmehrdengenauenText) irgendwie "nicht definierte Variable -1 wurde angesprochen" beendet. Code: Logfile of random's system information tool 1.06 (written by random/random)Und nun? |
Hi, 32 oder 64 Bit... Das GMER nicht läuft ist ungut.... Versuche es mal im abgesicherten Modus zu starten (wenn es das bei Win7 gibt, da bin ich kein Spezialist für ;o)... Bevor ich einen Schuß ins Blaue mit Avenger mache, probieren wir erstmal Dr. Web... http://www.trojaner-board.de/59299-a...eb-cureit.html Statt RSIT lass mal OTL laufen: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop * Doppelklick auf die OTL.exe * Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen * Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output * Unter Extra Registry, wähle bitte Use SafeList * Klicke nun auf Run Scan links oben * Wenn der Scan beendet wurde werden 2 Logfiles erstellt * Poste die Logfiles hier in den Thread. __________________ chris |
Nur damit ich hier nix falsches oder unvollständiges sage: Nach der Fehlermeldung fängt GMER trotzdem zu scannen an. Am Ende kommt die Meldung, dass er keine Manipulationen gefunden hat. Und noch eins, die Viren, die MAM vorgeblich beseitigt hat, sind alle fröhlich wieder da. Ich habe jetzt - wie angeraten - das Verzeichnis "C:\Program Files (x86)\Save Tube Video Company" gelöscht. Das ist übrigens entweder gut getarnt, oder ich habe es mit dem System installiert. Es trägt dasselbe Datum (4.11.09) wie alle Systemdateien. Ich probiere jetzt Dr. Web und berichte... |
Hi, GMER ist für Win 7 noch nicht freigegeben... Lass ihm nach Rootkits suchen und poste dann mal das Log... chris |
Also Dr. Web hat seinen Schnellscan im abgesicherten Modus (ja, gibt's bei WIN 7 wie vorher bei XP) absolviert und keinen Virus oder sonstwas gefunden. Den vollständigen Scan spare ich mir für später auf. Jetzt also nochmal GMER und dann OTL. |
P.S.: Jedes zweite Mal, wenn ich versuche hochzufahren (normal oder abgesichert), kriege ich die Meldung, dass hochfahren leider nicht geht. Dann repariert WIN 7 mit seiner System-Wiederherstellung selbständig. Vermutlich beseitigt das erst einmal den Virus und er kommt erst später wieder. Vielleicht nach einer Zeit, oder wenn ich versuche, in's Internet zu gehen. Fazit - hoffentlich finden die Scanner alles, was zu finden ist. Wollen mal sehen... |
Schwere Geburt - Absturz, aufgehängt, chkdsk, Systemwiederherstellung usw. Hier der erste OTL-Log extras.txt: Code: OTL Extras logfile created on: 04.01.2010 22:04:06 - Run 1 |
und hier OTL.txt: Code: OTL logfile created on: 04.01.2010 22:04:06 - Run 1Gruß und Dank vom Labbeduddel |
Hier das Ergebnis des Dr. Web-Fullscans: Code: eMule44b-v16-webcache.exe\{app}\emule.exe;C:\$Recycle.Bin\S-1-5-21-2957578560-3958132288-733529207-1001\$RDTNZ8K\ADA-HAS - Dateien von zuhause\2005\eMule44b-v16-webcache;BackDoor.Emule.44;;Was nun? Gruß und Dank vom Labbeduddel |
Eins noch - ich habe GMER noch einmal probiert. Es kommt dieselbe Fehlermeldung, danach macht er trotzdem den "Full Scan" und meldet, dass er nichts gefunden hat. Mir scheint, dass er dann auch kein Logfile speichert (hab keins gefunden). ciao! |
Und hier der neue MAM-Bericht von heute morgen. Alles unverändert, wir sind noch nicht recht weiter gekommen: Code: Malwarebytes' Anti-Malware 1.43 |
Hi, das ist ein 64-Bit-System, da gibt es meines Wissens keinen Rootkit der drunter läuft, auch die meiste Malware hat da ein Problem, genau wie die meisten Bereinigungstools, daher wird das sehr schwierig werden... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\Windows\SysWOW64\acedrv08.dll
Welche Prozesse im Taskmanager sind seltsam...? Ist "Save Tube Video" wieder da? chris |
Ich glaube, die Virustotal-Scans bringen alle nix. Hier einer nach dem anderen: Datei acedrv08.dll Code: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung Ergebnis |
Datei RunApp.exe Code: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung Ergebnis |
Zu Deinen weiteren Fragen: Save Tube Video war tatsächlich wieder da. Ich führe das allerdings auf die automatische Systemwiederherstellung zurück, die zwischenzeitlich erforderlich war. Ich habe es wieder gelöscht und neu gestartet, und das Verzeichnis ist bisher nicht wieder da. Im Task Manager war mir das nachfolgende Programm aufgefallen, das ständig wachsenden Speicher (über 100 MByte) belegt hat. Was es macht, ist mir nicht ganz klar. Kann aber sein - ist viel Musik auf dem Rechner. O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C: Ansonsten war auch ein svchost-Prozess sehr mächtig. Aktuell erlaubt mir der Rechner aber nicht, die Option "Prozesse aller Benutzer anzeigen", daher kann ich das Interessante nicht sehen oder abschreiben. Vielleicht klappt's in einer Stunde. So weit von mir. Gruß und Dank vom Labbeduddel |
Hi, hast du ein Backup vom Rechner? Auch Avenger hat keine Freigabe für win7 (und schon gar nicht für 64Bit), möchte es aber mal probieren... So, habe Avenger in einer virtual maschine auf Win7 (allerdings 32 Bit) losgelassen, bisher läuft es noch ,o) Falls Du das Risiko eingehen willst... Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. chris |
Du meinst Backup für den Fall des Totalverlusts? Ja habe ich, das hat mich das ganze vergangene Wochenende gekostet ;) Nochmal zum Task Manager: svchost.exe / 167.440 k Arbeitsspeicher / "Hostprozess für Windows-Dienste" SearchIndexer.exe / 59.032 k Arbeitsspeicher / "Microsoft Windows Search-Indexerstellung" ccSvcHst.exe *32 / 48.572 k Arbeitsspeicher / "Symantec Service Framework" wmpnetwk.exe / 35.080 k Arbeitsspeicher (wechselnd, bis über 100 MB) / "Windows Media Player Netzwerk" Das sind die, die mir auffielen. Gruß und Dank vom Labbeduddel |
Hi, okay, dann schaue dir den vorangegangenen Post von mir noch mal an, da ist ein Avengerscript drin... Das bitte abfahren und das Log posten... Avenger wird endgültig mit zwei Sachen aufräumen und nach einem bestimmten Rootkit suchen... Schauen wir mal ob wir Ausführungsbeschränkungen finden: Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Image File Execution Options in edit und klicke "Ok". Notepad wird sich oeffnen - poste den text chris Ps.: Die genannten Prozesse sind unkritisch, wobei die svchost natürlich auch zweckentfremdet von Malware benutzt werden kann (wie einige mehr Systemprozesse. Das ist genau der Trick, wie Malware sich an Firewall und Co "vorbeischmuggelt"... |
Tut mir Leid, aber es gibt keine Datei avenger.txt. Weder im Rootlaufwerk C:\, noch auf dem Desktop, noch irgendwo auf der Festplatte. Das Programm lief an wie geplant. Nach dem Neustart ("yes") hat es sich aber nicht mehr bemerkbar gemacht. Und nun?? |
Hi, eigentlich öffnet sich ein Editor mit dem Log von Avenger... Das hat mit dem win7/32Bit zumindest funktioniert, auch die Anweisungen wurden abgearbeitet... Und Du hast nichts neues (Treiber etc.) installiert? Hast Du Avenger als Admin ausgeführt bzw. unter Adminrechten? Sieht so aus, als ob wir uns eine Boot-CD basteln müssen und dann von aussen mal draufschauen. Hast Du eine Ati-Graka im Rechner? chris |
Vielleicht habe ich den Fehler gemacht, nicht (wie bei dem Oldtimer) die Option "als Administrator starten" zu wählen. Kann ich den Avenger einfach nochmal starten? |
Hi, ja. Suche dann mal wie angegeben mit Flekmann (siehe vorangegangenen Posts)... chris |
Also, auch mit Administrator-Rechten stellte sich der Avenger tot. Logfile von Flekman: Code: Windows Registry Editor Version 5.00 |
Hi, auch nicht der Renner... Hast Du schon eine Reparaturinstallation probiert? chris |
Systemwiederherstellung auf den Stand 22.11.09. Das hätte ich längst machen sollen. Angeblich bleiben die persönlichen Daten unangetastet. Nehmen wir mal an, das geht gut. Mit welchem Programm sichere ich dann ab, dass die Viren auch wirklich verschwunden sind? |
Hi, ein Scanner der tatsächlich unter win7/64Bit läuft wäre Prevx zu nennen, der allerdings in der Free-Edition nichts beseitigt... Zitat:
http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
Tool hat nix gefunden, das ist ja schon mal sehr erfreulich. Aber das hat im System nach installierten Viren gesucht (so mein Eindruck). Soll ich nochmal MAM laufen lassen? Norton wieder installieren ist zwar schön, aber das hat ja bisher auch nicht geholfen. Ich wäre gerne sicher, dass der Virus auf keiner internen oder externen Festplatte mehr schlummert. Bisher schon mal vielen Dank für Deine große Mühe! |
Hi, Vorschlag: Eine Virenlösung mit einem Guard und einen verhaltensbasierten Guard dazu... z. B. Antivr (kostenlos) und dazu die kostenlose Version von Threadfire (http://www.threatfire.com/de/) (das gibt es auch für 64 bit win7)... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board