hallo,

ich brauche hilfe.
ich habe in den letzten tagen einiges in euerm board gelesen. vor allem habe ich eins herausgehört: daß es keine universelle patentlösung gibt und jede infektion separat betrachtet werden muß. daher wende ich mich mit meinem konkreten problem an euch.
seit einigen tagen bemerke ich nach dem start des computers verzögerungen zunächst beim starten des avira guards, dann beim starten des firefox, dann beim aufrufen und laden von websites. auch allgemein scheint das gesamte system langsamer.
ganz konkret habe ich herausbekommen, daß nach jedem neustart in der windows firewall 2 ports geöffnet sind, die ich zwar immer wieder schließe und lösche, aber die nach jedem start wieder geöffnet sind. es sind folgende ports:
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
lösche ich obige ports und starte dann den computer neu ohne eine internetverbindung, gibt es keine verlangsamungen und werden auch die oben bezeichneten ports nicht geöffnet. sobald ich jedoch den computer mit internetverbindung starte kommen die probleme wie oben beschrieben.

vor ca. 1 woche fand mein malwarebytes, welches ich extra zur suche auf den computer installiert hatte, folgendes:
Infizierte Dateien:
c:\dokumente und einstellungen\rainer\lokale einstellun-gen\Temp\jar_cache6400226232624227969.tmp (Heuristics.Shuriken) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rainer\lokale einstellun-gen\Temp\jar_cache795757218228890511.tmp (Heuristics.Shuriken) -> Quarantined and deleted successfully.
ich habe dann diese teile gelöscht und Malwarebytes hat danach auch nichts mehr gefunden. die ports werden dennoch weiterhin geöffnet inkl. der oben beschriebenen negativen symptome.

auf anraten eines freundes hatte ich gestern ein combofix log erzeugt, woraus er dann meinte, eine infektion erkannt zu haben. weiteres möchte er aber, da ähnlich ahnungslos wie ich, nicht versuchen.

ich habe die logs, wie von euch gewünscht, angefertigt und hoffentlich auch richtig hochgeladen?.

grüße von rainer

hi,
und woher sollen wir wissen was in dem combofix log steht?
außerdem sollte man das tool sowieso nicht auf eigene faust einsetzen.
poste uns also das combofix log bitte.

danke für die schnelle antwort.
hier ist das combofix log

kannst du Malwarebytes updaten und einen kompletten scan machen bitte?

der quickscan mit upgedateten Malwarebytes brachte wohl kein ergebnis.
das log als anhang.

ah, ich lese gerade, daß von einem kompletten scan die rede ist. mache also noch den kompletten scan und liefere dann die ergebnisse.
rainer

so da bin ich wieder.
auch der komplette scan brachte wohl nichts zu tage.
das log hänge ich an.

kurze ergänzende bemerkung noch: als ich vorhin den scan mit GMER gemacht hatte, erschien am schluß die meldung: gmer has found system modification by rootkit activity.

grüße von rainer

hi,
hab schon gesehen.
1. machst du onlinebanking /einkäufe? oder sonst was wichtiges, beruflich oder privat?
2. ist dieses gerät mit recovery partition oder windows cd?

markus,
ja, ich mache all die feinen sachen, die man heutzutage gern übern computer erledigt, online käufe, online banking und noch einiges mehr und mir wird schon angst und bange, wenn ich daran denke, was böse buben so alles anstellen könnten, wenn sie an paßwörter gelangten. über einen anderen computer konnte ich bisher glücklicherweise feststellen, daß bis dato nix passiert ist...
dieser computer ist ein einfacher ms wind pc, eine windows cd kann ich nirgends finden, ich glaube sogar, daß es beim kauf keine dazugab.
ob und wo es eine recovery partition gibt, müßte wohl erst noch herausgefunden werden, allerdings weiß ich nicht recht, wie und wo.
kannst du da weiterhelfen?
grüße von rainer

kannst du mir die gerätebezeichnung geben und hersteller?

der computer ist ein:
msi pc wind pc2316xp desktop pc (intel atom n230, 1,6 ghz, usw.)
windows xp home edition, servicepack 3 ist drauf.
sind das die angaben, die du wolltest?

gibts da ne recovery software die vor instaliert war? damit kann man auf werkszustand zurück setzen

ich schau mal nach, ob ich noch meine alte verpackung mit irgendwelchem kram oder infos finde...
ganz nebenbei, auf welche art infektion tippst du denn?

es ist ein rootkit.

ok.
verpackungskram habe ich nicht mehr, eine cd ist nicht auffindbar und wie gesagt, kann ich mich nicht erinnern, zu diesem computer eine bekommen zu haben. wenn es also irgendeine art von recovery software geben sollte, dann müßte sie ja auf dem computer sein.
was können wir tun?

noch eine frage. was macht dieses rootkit, wie gefährlich ist es? oder läßt sich das nur schwerlich allgemein sagen?

es stiehlt daten, kann spam versenden etc.
naja, windows xp kostet nicht die welt, rund 20 € vllt einfach mal eines erwerben :-)