|
Plagegeister aller Art und deren Bekämpfung: Bios Trojaner oder was Ähnliches?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.09.2012, 00:06 | #1 |
| Bios Trojaner oder was Ähnliches? So ich habe mich mal hier angemeldet, da ich wohl eine sehr dickes Problem habe. Seit etwa Anfang des Jahres fuhr mein PC (Windows 7 64 bit) bei Inaktivität von ca. 20 Minuten runter und startete neu. Bei einen Scan dieser FP-Partition mit HD-Tune stürzte Win 7 an einer Stelle ab. Bei einen Scan von einer anderen Partition unter Vista blieb dieser stehen nach dem das Karo rot wurde. Bei der "Reparatur" und Neusortierung unter Windows, sowohl vorm Start und auch von der Vistapartion aus wurde kein Fehler gefunden. Habe etliche Viren, Trojaner und Rootkit-Suchprogramme angesetzt und nichts gefunden. Ich hatte diese Abstürze immer öfter dann auch bei Aktivität meinerseits und im Blue-Screen stand dann "Kernel Data Inpage Error". Ich dachte dann wirklich das sein ein Fehler auf der FP. Bis Win 7 nicht mehr hoch fuhr und eine Reperatur mit der Win-7 DVD nicht mehr möglich war. Unter Vista (und jetzt auch noch) wird diese Partition als unformatiert angezeigt. Ich kaufte mir als Ersatz für die Partition eine SSD und fragte den Verkäufer (sehr renomierter Laden) ob ich vielleicht gar ein BIOS-Virus hätte. Der Verkäufer meinte, dass es so etwas gar nicht gäbe! Nun gut, Win 7 auf SSD eingerichtet (wobei der Start der Instellation ungewöhnlich lange dauerte, wollte ich schon abbrechen kam aber ein Telefonanruf dazwischen und nach ca. einer viertel Stunde ging die Instellation weiter und es lief fast alles erst mal gut. Aber beim FireFox habe ich mich gewundert, dass dieser öfter mal etwas stockte. Dieses Stocken ist seit dem Update auf FF 15 viel stärker und öfter geworden. So, ein Teil davon konnte ich aufklären, es lag an Flashwerbung die zum Teil einen gesamten Kern meines Phenom II X4 920 lahm legte. Aber das war nicht alles: Letzte Woche stockte Google Earth um danach mit der selben Bildverzerrung wie schon mit der alten Partition und einen folgendem Bluescreen abzustürzen. Dort konnte ich aber nichts von "Kernel Data Inpage Error" lesen. So, das Stocken geht weiter, insbesondere beim Öffnen von Webseiten dauert das oft viele Sekunden, zum Teil wird FF grau und auch die anderen Tabs kann ich nicht bedienen was eigentlich nicht üblich ist. So heute habe ich eine Computerspiel (3.3 GB) runtergeladen und staunte nicht schlecht als FF mindestens 26% der CPU-Leistung verbraucht hat , das meiste davon auf einen Kern, auch nachdem ich alle anderen FF-Fenster geschlossen habe. Nach dem Download der mit 1,4 - 1,5 GBs geladen hat ging der Verbrauch auf fast 0 runter. 1,5 GBs ist zwar sehr gut aber nichts gegen Glasfaseranschlüsse die ja auch nicht die gesamte Rechenleistung eines modernen Prozessors beanspruchen. Scheint so, als würde eine Schadsoftware im Windschatten von Downloads operieren. Fire-Fox hat noch mehr Auffälligkeiten die ich später posten will da mir jetzt zuviel! Kann es sein, dass ich einen ultimativen Schädling bei mir habe, der im Bios oder gar in anderer Hardware steckt ? Achso, es ist ein AMI-BIOS, dieser ganz bekannte Trojaner der nur Award-Bios befällt kann es also nicht sein. Gruß und vielen Dank vorraus für eure Hilfe! So, da jetzt noch keine geantwortet hat noch mal ein paar Ergänzungen: Firefox meldet oft beim Start, dass Fester nicht geschlossen wurden, obwohl ich ich vor dem Runterfahren alle Fenster geschlossen habe, neuer Fenster öffnen sich manchmal am rechten Bildrand als kleine Karos oder schmale Leisten obwohl ich sonst viel größere Fenster habe und manchmal öffnen sich die Fenster ganz leer ohne Eingabemöglichkeit und Leisten. Auch hatte ich eine komische Aufforderungen den Flash-Player zu updaten. Da ich nicht als Admin ins Inet gehe (sehr zu empfehlen so kam ich ohne Probleme aus dem BKA/GVU-Trojaner raus) bekam ich die Aufforderung ein Update runter zu laden, nicht von eine Webseite sondern vom System, was nicht üblich ist da der FP diese Dinge selbst runterläd. Ich sollte von einen Server runterladen mit der Toplevel-Domain .to (die Hauptdomain habe ich mir nicht gemerkt). Einer Recherche ergab dass die Firma dahinter in Russland sitzt, sehr verdächtig. |
19.09.2012, 20:11 | #2 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Bios Trojaner oder was Ähnliches?Zitat:
Zitat:
__________________ |
19.09.2012, 22:37 | #3 |
| Bios Trojaner oder was Ähnliches? Ich hatte Vista draufgelassen für Computerspiele, da diese sehr oft mit Schadsoftware als Kopierschutz oder gar mit Spyware kommen. Den Ärger den ich mit Star Force 3 mal hatte möchte ich nicht erleben. Außerdem auch zum testen von Betaversionen und Inet-SW die nur mit Admin-Account geht, kurzum als Sicherheitsmassnahme um mein Hauptsystem nicht zu versauen.
__________________Zur Zeit habe ich keinen Bootmanager im System kann also Vista nicht starten. Es was das Spiel Wing Commander Saga von dieser Seite : hxxp://www.demonews.de/Spiele/Wing-Commander-Saga/Demos/Wing-Commander-Saga-The-Darkest-Dawn-2469/ Habe ich noch nicht installiert. Ich bin mir nicht 100% sicher ob ich wirklich was habe aber vieles ist doch sehr verdächtig, in der Vergangenheit war sowas meist ein Zeichen für Schädlinge. OK, Festplatte ist 1 GB von Samsung und die SSD ist OZC Agility 3 120 GB. Ich habe noch ein DVD-Brenner von LG und ein Blue-Ray-Brenner der selben Firma drinne und benutze eine Fritz!Box kabelgebunden. Mainboard ist Asus M3A78-T Virenscanner nutze ich Avira non Premim und habe noch den McAfee Security Scan Plus. Achso, es haben sich auch Bios-Einstellungen die ich von Hand geändert habe selber zurückgestellt was auch ein Hinweis auf Bios-Trojaner sein könnte. Genauer gesagt, die Audio-Aktivierung vom Frontpanel , das Problem hatte ich aber schon vor 3 Jahren. Gruß und Danke für die Antwort. |
20.09.2012, 14:32 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bios Trojaner oder was Ähnliches? Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ Logfiles bitte immer in CODE-Tags posten |
24.09.2012, 15:32 | #5 |
| Bios Trojaner oder was Ähnliches? So, habe beide Scans jetzt gemacht, aber den ESOT nach 2 Stunden abgebrochen nach Anfang einer reinen Datet-Partition (sorry muss um 17 Uhr weg) Gescannt sind damit die aktuelle SSD mit Win 7 und die alte Vista-Partition. Beide Scanner haben 1 Trojaner in der aktuellen Instellation gefunden auf C. So hier der ESOT: Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=b8856404464fee49a8be3d073cd1acf6 # end=stopped # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-09-24 02:19:19 # local_time=2012-09-24 04:19:19 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=1792 16777215 100 0 5847581 5847581 0 0 # compatibility_mode=5893 16776574 100 94 5254484 100118894 0 0 # compatibility_mode=8192 67108863 100 0 877 877 0 0 # scanned=381379 # found=16 # cleaned=0 # scan_time=7315 C:\Users\Hartmut\AppData\Local\Mozilla\Firefox\Profiles\tjexsp2m.default\Cache\D\4C\8F189d01 JS/Exploit.Pdfka.PRY trojan (unable to clean) 00000000000000000000000000000000 I F:\Program Files (x86)\Funmoods\1.5.23.22\escortApp.dll Win32/Toolbar.Funmoods application (unable to clean) 00000000000000000000000000000000 I F:\Program Files (x86)\Funmoods\1.5.23.22\escortEng.dll Win32/Toolbar.Funmoods application (unable to clean) 00000000000000000000000000000000 I F:\Program Files (x86)\Funmoods\1.5.23.22\escorTlbr.dll Win32/Toolbar.Funmoods application (unable to clean) 00000000000000000000000000000000 I F:\Program Files (x86)\Funmoods\1.5.23.22\escortShld.dll Win32/Toolbar.Funmoods application (unable to clean) 00000000000000000000000000000000 I F:\Program Files (x86)\Funmoods\1.5.23.22\funmoodssrv.exe Win32/Toolbar.Funmoods application (unable to clean) 00000000000000000000000000000000 I F:\Program Files (x86)\Funmoods\1.5.23.22\bh\escort.dll Win32/Toolbar.Funmoods application (unable to clean) 00000000000000000000000000000000 I F:\Users\Hartmut\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OLQ1C4AY\contacts[1].exe a variant of Win32/Kryptik.AIUM trojan (unable to clean) 00000000000000000000000000000000 I F:\Users\Hartmut\AppData\Local\Temp\plugtmp-30\plugin-readme.pdf PDF/Exploit.Gen trojan (unable to clean) 00000000000000000000000000000000 I F:\Users\Hartmut\AppData\Local\Temp\plugtmp-60\plugin-ap2.php JS/Exploit.Pdfka.POA trojan (unable to clean) 00000000000000000000000000000000 I F:\Users\Hartmut\AppData\Roaming\AcroIEHelpe171.dll Win32/Spy.Banker.YEV trojan (unable to clean) 00000000000000000000000000000000 I F:\Users\Hartmut\AppData\Roaming\appconf32.exe Win32/Spy.Banker.WBU trojan (unable to clean) 00000000000000000000000000000000 I F:\Users\Hartmut\AppData\Roaming\BAcroIEHelpe171.dll Win32/Spy.Banker.YEW trojan (unable to clean) 00000000000000000000000000000000 I F:\Users\Hartmut\AppData\Roaming\11001.047\components\AcroFF.dll a variant of Win32/Spy.Banker.YIL trojan (unable to clean) 00000000000000000000000000000000 I F:\Users\Hartmut\Downloads\ps_radio2014.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I H:\ps_radio2015.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.09.24.03 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 Hase :: HAL [Administrator] Schutz: Aktiviert 24.09.2012 11:19:07 mbam-log-2012-09-24 (12-59-49).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|H:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 681744 Laufzeit: 1 Stunde(n), 38 Minute(n), 53 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 7 F:\Program Files (x86)\Funmoods\1.5.23.22\escortApp.dll (PUP.FunMoods) -> Keine Aktion durchgeführt. F:\Program Files (x86)\Funmoods\1.5.23.22\escortEng.dll (PUP.FunMoods) -> Keine Aktion durchgeführt. F:\Program Files (x86)\Funmoods\1.5.23.22\escorTlbr.dll (PUP.FunMoods) -> Keine Aktion durchgeführt. F:\Program Files (x86)\Funmoods\1.5.23.22\funmoodssrv.exe (PUP.FunMoods) -> Keine Aktion durchgeführt. F:\Program Files (x86)\Funmoods\1.5.23.22\uninstall.exe (PUP.FunMoods) -> Keine Aktion durchgeführt. F:\Program Files (x86)\Funmoods\1.5.23.22\bh\escort.dll (PUP.Funmoods) -> Keine Aktion durchgeführt. H:\Stellarium Screen\Programme\DATA BECKER\DSL Radio-Recorder\dslrr.exe (Malware.Gen) -> Keine Aktion durchgeführt. (Ende) |
24.09.2012, 19:43 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bios Trojaner oder was Ähnliches? Du hast einen Bankingtrojaner im System, machst du Onlinebanking?
__________________ --> Bios Trojaner oder was Ähnliches? |
24.09.2012, 22:36 | #7 |
| Bios Trojaner oder was Ähnliches? Der Banking-Trojaner ist doch nicht auf meine Systempartition, oder? Gefunden mit dem Worten "Banking! war doch nur auf F und H. Ja ich mache Onnline-Banking mit Tan-Generator! Die letzten 2, 3 Jahre vor dem Tan-Generator habe ich keine Online-Überweisungen vorgenommen, da ist nichts passiert außer dass die wohl meine Kontodaten ausspionieren konnten, es wurde nicht einfach etwas abgebucht! |
25.09.2012, 11:56 | #8 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Bios Trojaner oder was Ähnliches?Zitat:
Zitat:
Natürlich sind das nur dann "Systembereiche" wenn das aktuelle Programm- und Benutzerprofilverzeichnis auf F abgelegt ist. Oder sind das ältere Backupverzeichnisse, demnach nicht aktiv?
__________________ Logfiles bitte immer in CODE-Tags posten |
25.09.2012, 12:43 | #9 |
| Bios Trojaner oder was Ähnliches? Ich habe doch geschrieben, dass ich keinen Bootmanager bei Neuinstellation angelegt habe. Ich lege dort keine Instellationen ab, das mache ich nur auf C der SSD Also nutze ich die Festlpatte nur für Daten. Den Banking-Trokaner kann ich jetzt löschen. Was aber ist das für eine Trojaner den ich auf C habe? |
25.09.2012, 14:48 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bios Trojaner oder was Ähnliches? Ah, also sind die Systemverzeichnisse des anderes Windows demnach mit dem Banker versaut?
__________________ Logfiles bitte immer in CODE-Tags posten |
25.09.2012, 16:14 | #11 |
| Bios Trojaner oder was Ähnliches? Ja, hier Vista was ich seit knapp 3 Jahren eh nur zu Spielen genutz habe. Was mit der akten Windows 7 Partition war kann ich nicht sagen, hier bräuchte ich erst mal eine gute Recovery-SW um diese Partition wieder zu finden. Smart-Recoverry kann leider nur bestimmte Dateiarten wiederherstellen keine ganzen Partitionen. |
25.09.2012, 19:18 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bios Trojaner oder was Ähnliches? Hast du die Funde von Malwarebytes nicht in die Quarantäne geschickt? Auf C wurde nur wtwas im Firefox-Cache gefunden und wahrscheinlich ein Fehlalarm in DATABECKER Software, aber wozu braucht man die genau?
__________________ Logfiles bitte immer in CODE-Tags posten |
25.09.2012, 21:40 | #13 |
| Bios Trojaner oder was Ähnliches? Ich glaube das habe ich getan, werden bald noch mal nen Scan laufen lassen. Wie kommt das aus dem Data-Becker-Programm in meinen aktuellen Browser. Ich hatte diese bei einen Vor-PC dessen Daten ich in einen Ordner dafür auf die jetzige FP (nicht aktuelles Systemplatte) kopiert habe. Das war der "DSL-Radio-Recorder". Ein für Data Becker typisch schrottiges Programm zum Aufnehmen von Internetradio was auch ständig abstürzte. Gib es seit langen nicht mehr zu kaufen. In dem Fund kam Data-Becker aber in "Stellarium" vor, was hat das dort zu suchen? Eben hatte ich wieder Probleme da ein ganzer CPU-Kern voll ausgelastet war auch nach dem Schliessen aller Fenster. Diesmal war es Skype was das verursacht hat, also wieder eine SW die mit dem Internet kommuniziert! P.S. : Vielleicht ist es noch wichtig zu erwähnen, dass mein Board Express-Gate besitzt (ist zur Zeit aber nicht aktiviert). Einmal war Express-Gate deaktiviert obwohl ich es installiert hatte, es war so als hätte ich es dann nicht installiert! Ein Teil von Express-Gate wird direkt auf dem Board abgelegt, gibt es für so etwas vielleicht einen Trojaner? Mit Express-Gate kann man auch ins Internet, sowohl eine eigener Browser als auch mit Skype. Basiert auf Linux. Wenn in C der Trojaner nicht sitzt, dann vielleicht in dem Speicherbereich für Express-Gate? |
26.09.2012, 14:06 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bios Trojaner oder was Ähnliches? DATA BECKER ist das hier: Code:
ATTFilter H:\Stellarium Screen\Programme\DATA BECKER\DSL Radio-Recorder\dslrr.exe adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop. Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!
__________________ Logfiles bitte immer in CODE-Tags posten |
08.10.2012, 12:59 | #15 |
| Bios Trojaner oder was Ähnliches? So, ich wunderte mich, dass mein CPU-Lüfter ständig auf Hochtouren läuft und ich habe mal geguckt ob ich den runterregeln kann im Energieoptionen , das ging nicht. Im Bios war dann auch cool and quiet disablet. Ich habe cool and quiet zwar mal eingeschaltet aber nie ausgeschaltet. Wieso schaltet sich sowas im Bios selber aus? Kann das nicht doch nen Bios-Trojaner sein der sich ins Bios flasht und damit Einstellungen wieder zurücksetzt? |
Themen zu Bios Trojaner oder was Ähnliches? |
bios, bios-virus, blue-screen, bluescreen, download, dvd, error, fehler, firefox, flash-player, folge, google, grau, hilfe!, lahm, nicht mehr, problem, scan, schädling, sekunden, telefonanruf, trojaner, update, viren, vista, webseiten, windows, windows 7 64 bit |