Rechner langsam, Grafik und Sound stotternd, Verdacht auf Trojaner oder Rootkit
 

Guten Tag allerseits,

mein Name ist Carsten, und ich suche hier Hilfe bei einer vermuteten Malware-Infektion.

Die wichtigsten Eckdaten: Dell Precision M90 Notebook, 4GB RAM, 500 GB Platte, Grafikkarte NVidia Quadro FX 3500M mit 512 MB, Windows XP SP3.

Was folgt, ist eine Zusammenfassung der Ereignisse in etwa der letzten Woche, so weit ich mich noch erinnern kann. Die Details und Reihenfolge der ergriffenen Maßnahmen bekomme ich sicher nicht mehr vollständig zusammen.

Ich benutze Chrome und spiele, meistens DDO - das ist ein MMORPG. In Chrome sind meistens etwa 50 bis 100 tabs geöffnet. Vor etwa einer Woche traten folgende Probleme auf: Grafik- und Soundausgabe erfolgten nur noch abgehackt und stotternd, in Abständen von ca. 1-2 Sekunden. Der Mauszeiger schien speziell im Browser manchmal zu hängen. Generell reagierte der Rechner bei weitem nicht mehr wie gewohnt.

Maßnahmen: Zunächst Systemneustart, der langsam vonstatten ging. Soundausgabe schon bei der Anmeldung abgehackt. Festplattenaktivität scheint hoch, ebenso CPU und Kernel.

Grafik- und Soundkartentreiber neu installiert. Keine Änderung.

Schutzsoftware (Avira, Avast und AdAware) laufen lassen, keine Funde. Hatten mich aber mit Werbeeinblendungen genervt, also neue besorgt - AVG und MBAM. Laufen gelassen und Funde beseitigt. Logs müßten zumindest teilweise noch vorhanden sein. Bei der Gelegenheit auch überfällige Windows-Updates durchgeführt. Die blieben einige Male hängen, möglicherweise an Punkten, bei denen ein Neustart nötig gewesen wäre. Jeweils Neustart durchgeführt und Update neu gestartet, vollständig abgearbeitet.

Situation etwas besser, aber noch nicht bereinigt.

Heise desinfec't-DVD gestartet - komischerweise konnte die DVD nur bei einem von etwa 20 Versuchen gelesen werden. DVD-Laufwerk funktioniert ansonsten wie erwartet. Vermutlich eine defekte DVD, also vorsorglich eine neue angefordert.

Bei dem einen, erfolgreichen Leseversuch startete das zugrundeliegende Ubuntu wie erwartet, der Rechner lief einwandfrei. Also im ersten Durchlauf zwei Scans gestartet - Avira und Bitdefender. Die Dateisysteme hatte ich vorher von Hand eingehängt, um den Antivirenprogrammen Schreibzugriff und somit ggf. Beseitigung zu ermöglichen. Wenige Funde (je einer), vorsorglich die betroffenen Dateien umbenannt. Die Dateien stellten sich aber bei nachträglicher Recherche als unwesentlich und vermutliche Fehlalarme heraus, beispielsweise ein deinstaller, der aufgrund von Heuristik als Malware klassifiziert wurde. Zweiter Scan mit ClamAV und Kaspersky, dabei ähnliche Resultate. Logs sind vorhanden.

Resultat: Sound- und Grafikprobleme noch vorhanden. Systemstart nach wie vor langsam. Browser lief anfangs ganz gut, schien aber nach einiger Zeit einzufrieren. Insbesondere fiel auf, daß das Öffnen eines neuen Tabs sehr lange dauert und daß Eingaben im Suchfeld sehr verzögert erscheinen.

Ich begann, etwas wirklich Böses zu vermuten, etwa einen wirklich hartnäckigen Trojaner oder ein Rootkit.

Zwischenbemerkung: Irgendwann im Verlauf der ab hier folgenden Ereignisse begann ich auch, ein Hardwareproblem zu vermuten, und schaute in der Ereignisanzeige nach. Dabei fielen mir ein paar Einträge wegen fehlerhafter Speicherbereiche auf sowie fehlende Klassen für CoolerEvent und ThermalEvent. Auch ein versuchter BIOS-Update (allerdings mit der gleichen Version, die schon installiert ist) führte zwar zum erwarteten Neustart und Start des Updates, wurde aber nach sehr kurzer Zeit beendet - anschließend erfolgte wieder ein Neustart, der zwar wie inzwischen gewohnt langsam, aber ansonsten unauffällig vonstatten ging.

Der Rechner lief zwar inzwischen deutlich besser, aber noch nicht zufriedenstellend. Weitere Maßnahmen: Rechner zerlegt, Staub entfernt (war vielleicht ein Vierteljahr her), Lüfter und heatpipes überprüft. Bei der Gelegenheit auch eine neue Tastatur eingebaut, die schon bereitlag, weil die alte zu ausgeleiert war und eine Taste nicht mehr funktionierte. chkdsk ausgeführt, Fehler gefunden, die natürlich im laufenden Betrieb nicht beseitigt werden konnten. Also im abgesicherten Modus ausgeführt, Fehler beseitigt. Seither ein paar Mal im laufenden System zur Gegenprobe ausgeführt, gelegentlich merkwürdige Indexfehler. Auslagerungsdatei defragmentiert (PageDefrag), Systempartition zumindest teilweise defragmentiert (Defraggler). Einiges an Software deinstalliert. Leider keine wesentliche Verbesserung.

Ich ging auf die Suche nach nützlichen Hinweisen und Hilfsprogrammen. Ich habe alle via Webrecherche überprüft, einige verworfen bzw. unbenutzt nach dem download wieder gelöscht (z.B. SpyDoctor). Dabei bin ich auch auf einige Rootkitscanner gestoßen (z.B. RootkitRevealer), konnte aber nicht viel damit anfangen. Auch auf Combofix und OTL bin ich dabei gestoßen, und dazu ein paar Details:

• Den Verweis auf Combofix habe ich an anderer Stelle gefunden (nicht im Trojanerboard, sondern auf einer amerikanischen Seite, wenn ich mich recht erinnere) und habe dort keinen Hinweis wahrgenommen, das Tool nicht ohne dedizierte Aufforderung auszuführen. Also habe ich es ein paar Mal laufen lassen. Logs sind vorhanden.
  
• Auch auf OTL bin ich gestoßen und habe es bereits ein oder zwei Mal vor diesem Beitrag laufen lassen. Komischerweise war es nach dem ersten Lauf verschwunden, also habe ich es neu heruntergeladen. Wohlgemerkt, das erfolgte vor der Vorbereitung dieses Beitrags.

Inzwischen läuft das System wieder einigermaßen, aber die Probleme sind noch nicht beseitigt. Zwischenzeitlich ist zweimal noch etwas Merkwürdiges aufgetreten: Der Bildschirm zeigte im Wesentlichen nur noch horizontal verlaufende Streifen - das könnte jeweils bei Aktivierung des Bildschirmschoners aufgetreten sein. Beim zweiten Mal lief gerade zur Vorbereitung auf diesen Beitrag OTL. Außerdem vermeldet AVG gelegentlich tracking cookies, die ich prompt lösche. Dabei sind mir zwei mehrfach aufgefallen, nämlich Fastclick und Yieldmanager. Ich hatte allerdings cookies von Drittanbietern zugelassen, aber das ist inzwischen korrigiert.

Ich habe also inzwischen einen Zustand erreicht, der besser ist als die ursprünglichen Fehlersituation, aber noch nicht ausreichend. Die Fehler treten noch auf, aber nicht mehr so massiv. Trotz aller Maßnahmen werde ich das Gefühl nicht los, daß eine Malware-Infektion vorliegt, denn ab und an erscheinen popups, teilweise nur unvollständig. Der Mauszeiger scheint speziell über links kurz zu hängen.

Für Hilfe wäre ich dankbar, und werde natürlich auch gerne mithelfen. Die für eine Erstbegutachtung erforderlichen Logs poste ich bzw. hänge sie an. Ich hoffe dabei, das richtig zu machen, aber bitte um Nachsicht, falls mir das nicht hunderprozentig gelingt.

Viele Grüße,
Carsten

P.S.: Mir fällt gerade auf, daß ich OTL und Gmer nicht auf dem Desktop abgespeichert hatte (das mache ich einfach ungern, sondern lege jeden download in einem eigenen Ordner ab), sondern Verknüpfungen benutzt
habe. Wenn das wesentlich ist, werde ich die scans nochmal durchführen.

P.P.S.: Und siehe da, gerade schaue ich mir das logfile von OTL hier im Beitrag direkt an und finde ein paar Einträge, die mir SEHR verdächtig erscheinen:



Defogger log



OTL log

pev.exe, sed.exe usw. usf. werden von Combpfix angelegt :pfeiff:

Du hast sehr viel Text produziert, aber wenn ich dich korrekt verstanden habe dann spinnt deine Windows-Installation oder eine Hardwarekomponente.

Ich würde erstmal versuchen rauszufinden, ob das nur unter Windows so ist, oder auch mit anderen Betriebssystemen.

So kann man sehen ob sich da ein Hardwareproblem abzeichnet oder der Fehler eher in der Konfig in Windows und/oder im Dateisystem ist.

Lad dir mal sowas wie Knoppix oder Ubuntu herunter, brenn die iso Datei per Imagebrennfunktion auf eine CD und boote den Rechner davon.
Teste dann mal ausgiebig das System unter Linux und berichte ob es dort normal läuft.

Da du evtl auch noihc Probleme mit dem optischen Laufwerk hast, kannst du auch ein Linux-CD-Image mittels unetbooton auf einen Stick bringen und den Rechner von von diesem Stick booten. Ist auch etwas angenehmer als das Live-Linux von CD aus zu benutzen

Ja, das hab' ich inzwischen auch herausgefunden... :stirn:

Ich tippe auf die Installation, die vermutlich durch einen Schädling beschädigt wurde. Zu den Gründen s.u.

Natürlich, das ist klar. Und wie gesagt: Bei dem einen, erfolgreichen Start der aktuellen desinfec't-DVD lief Ubuntu einwandfrei - somit ist der Test mit einer Linux-Live-DVD bereits erfolgreich verlaufen. Nur diese DVD macht Schwierigkeiten, andere nicht. Und das gilt interessanterweise auch für die inzwischen eingetroffene Ersatz-DVD. Ansonsten werden die eingelegten Medien korrekt erkannt und gelesen.

Aus meiner Sicht deutet alles auf eine partiell zerschossene Windows-Installation hin, aber möglicherweise ist noch ein Schädling vorhanden.

Also, kannst Du mir dabei helfen?

Das ist insofern wichtig, als ich es möglichst vermeiden möchte, das gesamte System komplett (einschließlich Formatierung) neu aufzusetzen - zumindest dann, wenn auch eine Neuinstallation im gleichen Verzeichnis, eine Reparatur via Reparaturkonsole oder unter Verwendung anderer Werkzeuge reicht.

Viele Grüße und vielen Dank,
Carsten

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo Arne,

hier erstmal die MBAM-logs in umgekehrt chronologischer Reihenfolge:

Die sind also unauffällig.

Den scan mit ESET hatte ich gestern schon einmal gestartet, aber da hat leider wieder der Darstellungsfehler mit den vertikalen Streifen zugeschlagen, so daß ich neu starten mußte. Weil ich die Ausgabe aber gelegentlich kontrolliert hatte, weiß ich, daß zwei Positivmeldungen vorlagen: Zum einen ein heuristischer Treffer, zum anderen Toolbar.Widgi.
Den scan habe ich noch einmal gestartet und werde das resultierende logfile hier posten, sobald es vorliegt.

Vielen Dank,
Carsten

Hallo Arne,

auch der nochmals aufgesetzte scan mit ESET lief sehr lange (laut letzter Sichtung über 30 Stunden) und mündete dann bei 99% in den Darstellungsfehler mit den horizontalen Streifen, aber das logfile scheint geschrieben worden zu sein.

(In meinem letzten Post hatte ich vertikale Streifen erwähnt, aber das war natürlich ein Fehler meinerseits)

Also, hier das logfile von ESET:

Nach dem Darstellungsfehler mußte ich natürlich den Rechner neu starten, und dabei gab es einen bluescreen, der auf ein Problem mit win32k.sys hinwies. Ich habe daraufhin dieses file nochmal von der Original-CD kopiert und am richtigen Ort expandiert, aber das hat leider keine Besserung gebracht.

Viele Grüße,
Carsten

Was genau soll das sein? Quelle?

Quelle: hxxp://www.foolishit.com/

Verwendungszweck laut Hersteller:
Das ist definitiv eines von den Tools, die ich zwecks Fehlersuche und -behebung heruntergeladen hatte. Da ich damit nicht weiter kam, habe ich es wieder deinstalliert.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Okay, hier das aktuelle Logfile von OTL:

Hast du eigentlich noch das Log von combofix? Wenn ja bitte vollständig posten

Hallo Arne,

hier erstmal die combofix-logfiles in umgekehrt chronologischer Reihenfolge:

Es sind noch andere Ausgabedateien (keine logfiles) von combofix vorhanden - für den Fall, daß die helfen. Ebenso drei logfiles von TDSSKiller - soll ich die auch posten?

Viele Grüße,
Carsten

Ja auch die Logs vom TDSS-Killer posten

Hier die TDSSKiller-logs, wie üblich umgekehrt chronologisch angeordnet:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!