Massive Performanceeinbrüche durch Trojan.ADH.2?
 

Hallo Boarderliner :crazy: ,

heute hat mir mein SEP11 Autoprotect 2 x gemeldet, dass er den Trojan.ADH.2 gefunden hat. Etwas seltsam, da ich auf Grund extremer Performanceprobleme seit Tagen mein System mit allem möglichen scanne aber bisher nichts gefunden wurde.

Seit dem 04.11. dauert der Boot-Vorgang extrem lange und meine CPU-Auslastung schießt selbst bei kleineren Applikationen (z.B. UMTS-Verbindungsprogramm) fast permanent auf 100%, der Ping ist höher als normal (UMTS, z.B. 230 statt 120) und z.B. bei WoT hab ich fps-Raten v. 2-10 statt ca. 40. Hardwareseitig hab ich meinen RAM, die CPU und meine GraKa mit Diagnosetools gecheckt, die scheinen ok zu sein. Und die allseits propagierten Prozess- und Dienste-Kills hab ich auch hinter mir. Allerdings ohne großen Erfolg. Bis auf den Programmkompatibilitäts-Assistenten, den hab ich deaktiviert, weil alleine der schon 50% CPU-Auslastung verursacht hatte.

Jetzt bleibt mir nur noch die Hoffnung, dass es an dem Trojaner liegt und der sich auch beseitigen läßt.

Hier das SEP-Log:


Noch das OTL-Log von heute abend:

Und die Extras.txt:


Falls ich irgendwie nicht so ganz korrekt gepostet habt, verzeiht mir bitte, war ein langer Tag. Ich gelobe Besserung.

Viele Grüße
schuka

Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Guten Morgen Cosinus,

sei mir nicht bös', da bisher keine Antwort kam und ich den Rechner heute für Home Office benötige, habe ich zwischenzeitlich einige Programme die ich sowieso nicht mehr benötige deinstalliert bzw. Dateien, die schon ewig nutzlos rumlagen gelöscht. Außerdem habe ich meine Grafikkarte getauscht, weil bei verschiedenen Hardwarediagnosen angezeigt wurde, dass sie nicht mehr 512 MB sondern nur noch 140 MB zur Verfügung stellt (Hab die Karte auch in einem anderen Rechner getestet). Hat von der Performance her nichts gebracht. Außerdem habe ich den Eset Online-Scanner laufen lassen, der 3 Funde gelöscht hat. Weitere Logs mit Funden (außer dem von SEP u. Eset) hab ich nicht. Ach ja, ich habe auch versucht, aswMBR als Admin zu starten, das führt jedes mal zu nem Bluescreen und dadurch zu nem automatischen Reboot. Das Startbild "Windows wird gestartet" bleibt übrigens bei jedem Start ca. 2 Minuten stehen.

Eset Online-Scan:

Die Malwarebytes-Dienste werden als "Disabled" angezeigt, weil ich immer die Meldung erhielt, dass die Testphase abgelaufen ist. Hat halt genervt und ich war sowieso kurz davor, meinem Rechner das Fliegen beizubringen. Ich starte die Dienste aber gleich wieder.

Hier hab ich noch ein Log vom Process Explorer, ich hoffe, Du kannst was damit anfangen. Die Auslastung ist da gerade nicht so hoch.

Ich werde jetzt nochmal meinen Rechner nach älteren Logs durchkämmen und sie posten. Weitere Logs mit Funden (außer dem von SEP u. Eset) hab ich nicht. Ich mach auch gleich nochmal nen OTL-Scan (ohne Aktion), weil sich ja einiges auf der Platte geändert hat. Falls bei der weiteren Vorgehensweise Scans erforderlich sind (davon gehe ich aus), sag mir bitte frühzeitig Bescheid, ich kann sie auf Grund ihrer Dauer (Eset dauerte mehr als 6 Stunden) nur nachts laufen lassen bzw. morgens starten, bevor ich zur Arbeit gehe.

Gruß
Schuka

PS: Ich habe die o.a. Maßnahmen ergriffen, weil die Zeit drängte (Home Office) und ich nicht wußte, wann ich Antwort bekomme. Außerdem wollte ich euch nicht frühzeitig auf den Senkel gehen, weil ich weiß, dass ihr eure Freizeit dafür opfert. Absoluter Respekt und Hochachtung vor eurer Leistung, eurem Engagement und eurer Motivation!

Hallo Cosinus,

hier erst mal das aktuelle OTL-Log (eine "Extras.txt" gabs diesmal nicht...?):


Da Du ja darum gebeten hattest, habe ich keine Virenscans mehr laufen lassen. Weitere Logs von anderen Scans habe ich auch keine mehr gefunden.

Gruß
Steff

Hallo Cosinus,

hab versehentlich meinen vorherigen Beitrag editiert, statt ne neue Antwort aufzumachen.

Hier erst mal das aktuelle OTL-Log (eine "Extras.txt" gabs diesmal nicht...?):



Da Du ja darum gebeten hattest, habe ich keine Virenscans mehr laufen lassen. Weitere Logs von anderen Scans habe ich auch keine mehr gefunden.

Gruß
Steff

Was ist denn jetzt mit den Logs von Malwarebytes?!
Das Programm ist nämlich NICHT deinstalliert!

???

Hallo Cosinus,

hier das mb-Log von heute nacht:

Ach ja, es gab doch noch ein Log von mb von nem Scan, den ich direkt nach der Installation gemacht hatte. Im Vergleich zur heutigen Scandauer (5 Std. 40 Min.) ging das hier richtig fix (51 Min. 16 Sek.), obwohl mehr Dateien gescannt wurden.

Warum machst du neue Scans?! Was hast du hierdran nicht verstanden:

:confused:

Hast du nun ältere Logs von Malwarebytes Funden oder nicht?!

In meiner letzten Antwort siehst siehst Du ja ein mb-Log vom 13.11. Und da ist kein Fund aufgezeigt. Ich habe auch nie geschrieben, dass mb mal was gefunden hat. Und das ältere Log habe ich auch erst gesehen, nachdem ich heute nacht mb laufen ließ, weil ich das Log in einen separaten Ordner verschoben und den Eintrag im Logdateien-Tab gelöscht hatte. Schließlich hatte mb ja nichts gefunden. Wie ich aber schon am 10.12. geschrieben hatte, habe ich auch keine weiteren Logs mit Funden außer denen von SEP u. Eset, die ich aber bereits angefügt habe.

Ok, das Datumsformat hat mich reingelegt :headbang:


Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


1. aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.


2. TDSS-Killer

Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Hier die beiden Logs von aswMBR u. TDSSKiller.

Probleme gabs beim aswMBR.
aswMBR hab ich als Administrator ausgeführt, dann wurden die avast!-Virendefinitionen heruntergeladen. Als das durch war, hab ich Scan angeklickt. AV-Scan stand standardmäßig auf Quick Scan. Sofort kam ein Bluescreen und der Rechner startete neu. Ich hab Windows danach normal starten lassen und aswMBR nochmal als Admin ausgeführt, daraufhin wieder Bluescreen. Danach hab ich Windows im abgesicherten Modus gestartet, aswMBR als Admin ausgeführt, Quick Scan stehen lassen und auf Scan geklickt. Nach ca. 2 Min. erschien die Fehlermeldung "avast! Antirootkit funktioniert nicht mehr". aswMBR geschlossen, neu als Admin ausgeführt, AV Scan auf "none" geändert und gescannt (immer noch im abgesicherten Modus).

Nach nem Neustart des Rechners im "normalen" Modus hab ich dann TDSSKiller als Admin ausgeführt. Ist problemlos durchgelaufen.

Und jetzt die Logs.

aswMBR:

TDSSKiller:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo Cosinus,

Folgendes hab' ich gemacht:

Da ja alle Virenscanner etc. deaktiviert sein sollen, bevor ComboFix gestartet wird, hab ich mbam mit nem Rechtsklick auf das Icon in der Taskleiste und nem Klick auf "Verlassen" beenden wollen. Das hat nen Bluescreen und Neustart d. Rechners verursacht. Als Windows danach wieder komplett gestartet war, hab ich die beiden mbam-Dienste in der Systemsteuerung beendet und deaktiviert. Da trotzdem noch die Prozesse dazu im Taskmanager aktiv waren, hab ich die auch gekickt. Das hat dann funktioniert.

ComboFix kann ich nicht ausführen, zumindest nicht, wenn ich Windows normal gestartet habe. Ich führe es als Administrator aus, das Prog. startet und nach dem Punkt, wo die Registry gesichert wird, bekomme ich nach ca. 20 Sek. - 2 Min. einen Bluescreen und der Rechner startet neu. Das passiert jedes Mal. Ich hab noch nicht versucht, ComboFix im abgesicherten Modus zu starten.

Gibt es dazu irgendwelche Infos, die ich Dir dazu noch liefern kann (z.B. event viewer logs o.ä.)?

Meinst Du, es macht Sinn, überhaupt noch was zu versuchen und Stunde um Stunde Deiner und meiner Zeit zu investieren oder soll ich den Rechner neu aufsetzen?

Falls er neu aufgesetzt werden muss, hab ich noch eine Frage:
Da ich ein wirklich sauberes System danach haben möchte, werde ich keine Dateien sichern (die Verluste muss ich in Kauf nehmen) und auch kein Recovery durchführen.

Mit welchem Programm kann ich die HDD's so plattmachen, dass garantiert nichts mehr drauf sein kann (sag bitte nicht "mit dem LKW"). Nicht mal etwas, was nach einer "normalen" Formatierung noch drauf sein könnte.

Sorry, aber ich resigniere....
Bei jedem Win-Start 4 Minuten lang "Windows wird gestartet" anstarren zu müssen und nach 7 Minuten mal was am Rechner öffnen zu können, das dann mit nem Bluescreen endet, macht müde.

Gruß
schuka

Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal. Notfalls combofix im abgesicherten Modus mit Netzwerktreibern.

Hallo Cosinus,

das kann ich erst morgen oder übermorgen machen, da ich hier nur mit UMTS-Stick arbeite und nur zuhause WLAN habe (bin Wochenendpendler). Und der UMTS-Stick wird im abgesicherten Modus (auch mit Netzwerktreibern) nicht unterstützt.

Schönes Wochenende!

Gruß
schuka

Hallo Cosinus,

hier das ComboFix-Log. Im abgesicherten Modus hat es funktioniert.

Gruß
schuka