Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   W-LAN durch und nach Trojaner gestört (https://www.trojaner-board.de/181923-w-lan-trojaner-gestoert.html)

SteAl88 21.09.2016 13:00
W-LAN durch und nach Trojaner gestört
 
Hallo,

erstmal möchte ich sagen, dass ich keine Logfiles oder ähnliches erstellen konnte, da ich mich aktuell nicht am infizierten Rechner befinde. Habe das Problem aber hoffentlich so gut es geht beschrieben.

Ich habe mir letztens nämlich einen Trojaner eingefangen (Win.Trojan.Agent-1426210). Er befindet sich laut der „Desinfec‘t“-CD vom „CT Magazin“ in folgendem Pfad/folgender Datei: /Windows/Temp/VulkanRT/vcredist_x64.exe.

Auswirkungen tut er sich auf das W-LAN. Also der Computer bekommt keine Verbindung mehr bzw. nur kurz, aber wenn man irgendwie surfen mag, bricht er ab.

Meine bisherigen Gegenmaßnahmen waren eine dreimalige Neuinstallation von Windows 10 (zweimal drüber installiert, einmal komplett neu (bei letzterem wurde eine windows.old-Datei erstellt, aber ohne vorherige Formatierung)). Nachdem das alles nichts geholfen hat, habe ich den Trojaner mithilfe der besagten „Desinfec‘t“-CD in Quarantäne verschoben.

Danach konnte der PC zwar wieder eine Internetverbindung über das W-LAN herstellen, aber die Verbindungsanzeige war sehr niedrig (maximal zu 1/4 gefüllt, vorher 3/4). Die Geschwindigkeit ist auch um ca. die Hälfe eingebrochen (ca. 1 Mbit/s, vorher ca. 2 Mbit/s).

Passiert ist auf jeden Fall immer, wenn die Anzeigentreiber installiert worden sind und der PC danach neugestartet worden ist. Es ist zwar auch schon ohne vorheriger Treiberinstallation passiert, aber da auch erst nach einem Neustart. Dennoch hängt es wohl mit den Grafiktreibern zusammen. Meine Recherchen bestätigen dies auch.

Nun meine Fragen:
  • Kann dies, trotz Quarantäne immer noch der Trojaner sein?
  • Wenn ja, würde eine Neuformatierung bzw. eine Löschung der Partitionen helfen? Zumindest Ersteres konnte ich über den Windows Installer nicht vornehmen.
  • Kann der Trojaner den physischen W-LAN-Adapter insoweit beschädigen, dass er nur noch „halb“ funktioniert?
  • Kann sich der Trojaner auf der Fritzbox festgesetzt haben und immer wieder zurückkommen, wenn man sich mit der Fritzbox verbindet?

Vielen Dank schon mal für die Hilfe.

Liebe Grüße
Steffen

deeprybka 21.09.2016 23:16
:hallo:

Zitat:
Zitat von SteAl88 (Beitrag 1611573)
Ich habe mir letztens nämlich einen Trojaner eingefangen (Win.Trojan.Agent-1426210). Er befindet sich laut der „Desinfec‘t“-CD vom „CT Magazin“ in folgendem Pfad/folgender Datei: /Windows/Temp/VulkanRT/vcredist_x64.exe.
Quod esset demonstrandum.

Die Datei AppData/Local/Temp/VulkanRT/vcredist_x64.exe wird von ClamAV als Win.Trojan.Agent-1426210 detektiert. Meiner Meinung nach ein false positive.

Hier wirst Du keinen finden, der diese CD benutzt. Experten raten von Offline-Scans auch ab.
Wie auch immer...Nach
Zitat:
dreimalige Neuinstallation von Windows 10
liegt sehr sicher kein Malware-Problem vor.

SteAl88 22.09.2016 01:31
Hallo,

danke erstmal für deine Antwort. Wie auch immer du es bezeichnen magst, irgendwas Bösartiges ist in jedem Fall auf meinem Rechner.

Denn zum ersten Mal trat das Problem auf, als ich Dateien von meinem Laptop (der ähnliche Symptome aufweist) auf meinen Desktop-PC ziehen wollte. Also sie waren noch auf dem USB-Stick und als ich da den Virenscanner drüber laufen lassen wollte, brach der Scan ab und die Probleme waren da.

Des Weiteren blinken auch die Programme in meiner Taskleiste in mittelgroßen Abständen auf.

Ein weiteres Indiz ist, dass der "OSHI Defender" den selben Trojaner findet, aber in einem Adobe Ordner. Und die Adobe Software habe ich erst wieder nach dem mehrmaligen Windows installieren neu drauf gemacht.

Anbei meine "FRST"- und die "Addition"-Datei. Ich musste sie aufgrund der Größe leider anhängen. Vielleicht hilft das ja weiter. Vielen Dank schon mal.

deeprybka 22.09.2016 11:00
Sag mal wie kommt man denn auf die Idee den Oshi-Defender zu installieren? Haste dafür schon Geld ausgegeben?

Für mich sieht der PC auf den ersten Blick sauber aus.

Schritt 1
Downloade Dir HitmanProhttp://deeprybka.trojaner-board.de/b.../hitmanpro.pngauf Deinen Desktop:

HitmanPro-32 Bit Version
HitmanPro-64 Bit Version
Schritt 2

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


SteAl88 23.09.2016 00:32
Nein, habe ich nicht. War nur mal ne Idee, um zu schauen, was der so findet.

Anbei nun das Hitman-Log:

Code:
HitmanPro 3.7.14.276
www.hitmanpro.com

  Computer name . . . . : DESKTOP-O7R7EUJ
  Windows . . . . . . . : 10.0.0.10586.X64/8
  User name . . . . . . : DESKTOP-O7R7EUJ\S. *****
  UAC . . . . . . . . . : Enabled
  License . . . . . . . : Free

  Scan date . . . . . . : 2016-09-23 00:49:16
  Scan mode . . . . . . : Normal
  Scan duration . . . . : 2m 55s
  Disk access mode  . . : Direct disk access (SRB)
  Cloud . . . . . . . . : Internet
  Reboot  . . . . . . . : No

  Threats . . . . . . . : 0
  Traces  . . . . . . . : 1

  Objects scanned . . . : 1.143.822
  Files scanned . . . . : 14.333
  Remnants scanned  . . : 213.882 files / 915.607 keys

Suspicious files ____________________________________________________________

  C:\Users\S. *****\Downloads\FRST64.exe
      Size . . . . . . . : 2.402.816 bytes
      Age  . . . . . . . : 0.9 days (2016-09-22 02:15:03)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : 60C9CCAA2604B0EC8254236AE57A3704B02DBC4044975260E942D7A47733CDB3
      Needs elevation  . : Yes
      Fuzzy  . . . . . . : 24.0
        Program has no publisher information but prompts the user for permission elevation.
        Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
        Authors name is missing in version info. This is not common to most programs.
        Version control is missing. This file is probably created by an individual. This is not typical for most programs.
        Time indicates that the file appeared recently on this computer.
      Forensic Cluster
        -1.2s C:\Users\S. *****\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\Temp\NVIDIA Corporation\NV_Cache\6662bc6f7f5f4b37d78be2aaae5e8289_fce8395c8fd8a99b_abdb79e79164a64e_4_1.bin
          0.0s C:\Users\S. *****\Downloads\FRST64.exe
Und das ESET-Log:

Code:
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=ae18e8c896aee944888bc6500cc7ce76
# end=init
# utc_time=2016-09-22 10:55:53
# local_time=2016-09-23 12:55:53 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT
Update Init
Update Download
Update Finalize
Updated modules version: 30841
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=ae18e8c896aee944888bc6500cc7ce76
# end=updated
# utc_time=2016-09-22 11:00:13
# local_time=2016-09-23 01:00:13 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=ae18e8c896aee944888bc6500cc7ce76
# engine=30841
# end=stopped
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-09-22 11:01:12
# local_time=2016-09-23 01:01:12 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.2.9200 NT
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 0 28399415 0 0
# scanned=8495
# found=0
# cleaned=0
# scan_time=58
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=ae18e8c896aee944888bc6500cc7ce76
# end=init
# utc_time=2016-09-22 11:01:47
# local_time=2016-09-23 01:01:47 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT
Update Init
Update Download
esets_scanner_update returned -1 esets_gle=53251
Update Finalize
Updated modules version: 30841
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=ae18e8c896aee944888bc6500cc7ce76
# end=updated
# utc_time=2016-09-22 11:02:27
# local_time=2016-09-23 01:02:27 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=ae18e8c896aee944888bc6500cc7ce76
# engine=30841
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-09-22 11:17:25
# local_time=2016-09-23 01:17:25 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.2.9200 NT
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 0 28400388 0 0
# scanned=141590
# found=0
# cleaned=0
# scan_time=897

deeprybka 23.09.2016 07:31
Wie gesagt, PC sieht sauber aus.

SteAl88 23.09.2016 16:25
Aber irgendwas muss ja sein. Kann sich denn was im BIOS eingenistet haben? Ich weiß, unwahrscheinlich, aber sag niemals nie.

deeprybka 23.09.2016 16:28
Da kann ich Dir dann sowieso nicht übers Forum helfen.
Im Übrigen, was soll da nach mehreren Neu-Installationen sein? Malware die man nicht sieht, die bemerkt man auch nicht.

Würde mal den Router zurücksetzen, Firmware auf Updates prüfen usw.

SteAl88 23.09.2016 17:31
Okay. Aber Router zurücksetzen, Firmware auf Updates prüfen, usw. würdest du machen, damit generell ein Verbindungsproblem gelöst wird oder weil du denkst, dass der Router vielleicht irgendwie infiziert worden ist?

deeprybka 23.09.2016 17:34
Die Logs zeigen keine Auffälligkeiten hinsichtlich einer Routerinfektion.

SteAl88 08.10.2016 15:46
Hi, vielen Dank nochmal für deine Hilfe. Ich melde mich jetzt erst wieder, weil es erstmal keine weiteren Probleme gab. Die Verbindung war zwar mal schlechter, dann wieder besser, etc., aber es funktionierte.

Nun gibt es aber wieder Auffälligkeiten. Die eine davon besteht auch schon etwas länger. Mein Mitbewohner hat nämlich erzählt, dass er auch Probleme mit dem Internet hat. Unter anderem gab es einen mehrstündigen Ausfall und immer mal wieder kleinere Ausfälle.

Die andere Auffälligkeit ist, dass wenn ich bei meinem PC die Anzeige auf meinen Fernseher erweitere, dass dann das W-LAN die selben Probleme macht wie vor meinem Virus-Check mit der CD vom ct-Magazin. Lasse ich danach das Bild nur auf einem Monitor anzeigen, muss ich mich zwar wieder mit dem W-LAN verbinden, aber es funktioniert. Sogar mit bestem Empfang.

Zur Erinnerung: Nach der Neuinstallation von Windows war das ja auch gut, aber sobald sich die Grafiktreiber installiert hatten und der PC neugestartet worden ist, war das Problem wieder da.
  • Nun die Frage: Kann sich der Virus über den W-LAN-Router verbreitet haben?
  • Und warum ist der Virus von den Grafiksachen abhängig?

Eine Neuinstallation der Treiber (Grafik sowie W-LAN-Adapter) hat nicht geholfen.

PS.: Ich bitte dich mal zu vergessen, dass die Log-Dateien und Scanner nichts Auffälliges vorzuweisen hatten.

Bitte denk dran, dass meine Probleme losgingen, als ich Dateien von meinem verseuchten Laptop auf meinen PC ziehen wollte und das Problem das selbe ist, wie auf meinem Laptop.

Des Weiteren hatte die ct-Antivirus-CD ja auch etwas gefunden und entfernt bzw. in Quarantäne verschoben. Denk auch hier bitte nicht daran, dass es sich um ein "false positive" handeln könnte, sondern dass das der mögliche Grund für die Probleme ist. Denn immerhin war der PC zum Zeitpunkt des Säuberns so gut wie neu.

Also auch wenn viele Dinge einen sauberen Anschein machen, irgendwas virenmäßiges muss ja drauf sein. Ggf. unsichtbar. Auch wenn du sagtest, dass Malware erst auffindbar ist, sofern sie Auswirkungen auf das System hat. Vielen Dank :)

deeprybka 08.10.2016 16:28
Zu dem Thema habe ich alles gesagt. Ein "unsichtbarer Virus" der 3 Neu-Installationen überlebt (also eigentlich "schlau" sein sollte) sich aber dann durch "Auffälligkeiten" bemerkbar macht, kenne ich nicht.

Zitat:
Des Weiteren hatte die ct-Antivirus-CD ja auch etwas gefunden und entfernt bzw. in Quarantäne verschoben
Ja,

Zitat:
Die Datei AppData/Local/Temp/VulkanRT/vcredist_x64.exe wird von ClamAV als Win.Trojan.Agent-1426210 detektiert. Meiner Meinung nach ein false positive.
Hinweise zum Router habe ich gegeben.

Thema für mich erledigt.

SteAl88 08.10.2016 18:21
Würdest du mir dann den gefallen tun und meine Anfrage an einen Kollegen weitergeben? Vielleicht kennt der ja so einen Virus oder weiß zu helfen. Ist ja wie bei der Ärzten; man soll sich immer mehrere Meinungen anhören.

Und das aufgrund der Datenübertragung irgendwas faul ist, lässt sich ja nicht abstreiten.

Danke.

deeprybka 08.10.2016 18:24
Es steht Dir frei einen neuen Thread zu eröffnen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19