Schönen Abend zusammen!

Würde dringend eure Hilfe bei einem Problem brauchen, welches sich folgendermaßen darstellt:

1)PC braucht ewig lang zum Hochfahren (allein 2 Min. beim Wdws XP-Logo)
2) Wenn dann Desktop endlich ersichtlich ist, dauerts nochmals 5 Min. bis man halbwegs was arbeiten kann. Währen dieser Zeit liegt die CPU-Auslastung bei 40-80 %. (obwohl von mir nichts gestartet wurde)

Habe einige Scans mit den verschiedensten Programmen durchgeführt – wobei mir der Fund von AdAware am bedeutendsten erscheint: „Trojan.Win32.FakeVimes.gen“. Bin jetzt soweit, dass die Virenprogramme Nichts mehr finden, System aber trotzdem noch seeeehr langsam ist.
Seid bitte gnädig zu mir,da ich kein PC-Spezialist bin. Um mich ein wenig aufzuwärmen, habe ich schon OTL.txt und EXTRAS.txt angehängt.
Gmer hat beim Starten vom Scan Fehlermeldungen angezeigt und keine Log-Gatei geliefert.

Zitat:

wobei mir der Fund von AdAware am bedeutendsten erscheint: „Trojan.Win32.FakeVimes.gen“. Bin jetzt soweit, dass die Virenprogramme Nichts mehr finden, System aber trotzdem noch seeeehr langsam ist.

Schön und wo sind die Logs dazu?

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo!

Sorry, wusste nicht genau was ihr benötigt.


Log von AdAware - selbst zusammengefasst, weil ich keine txt-Datei gefunden habe

Code: Alles auswählenAufklappen

ATTFilter

Name der Gefahr:     
 Trojan.Win32.FakeVimes.gen

ntkrnlpa.exe!ZwOpenProcess[78edf8e8d34ecce2.sys!0x8A6CBE2B]
ntkrnlpa.exe!ZwOpenThread[78edf8e8d34ecce2.sys!0x8A6CBF54]
0,C:\WINDOWS\system32\drivers\78edf8e8d34ecce2.sys
         

Logs von Malwarebytes

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.14.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
user :: USERPC [Administrator]

Schutz: Deaktiviert

14.10.2012 15:17:46
mbam-log-2012-10-14 (15-17-46).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 212655
Laufzeit: 6 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\WINDOWS\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.15.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
user :: USERPC [Administrator]

Schutz: Deaktiviert

15.10.2012 16:29:55
mbam-log-2012-10-15 (16-29-55).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 209127
Laufzeit: 11 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Toll!
Nichts gefunden. Weiß jetzt nicht, ob ich begeistert oder enttäuscht sein soll.

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.15.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
user :: USERPC [Administrator]

Schutz: Deaktiviert

15.10.2012 19:25:29
mbam-log-2012-10-15 (19-25-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 340920
Laufzeit: 2 Stunde(n), 39 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Der PC arbeitet auf jeden Fall nicht normal. In Summe braucht er beim Hochfahren ca. 10 Min., bis man halbwegs arbeiten kann.
-Boot Sequenz: relativ schnell, danach wird’s langsam
-Wdws Logo
-schwarzer Bildschirm mit Mauszeiger
-Desktop ohne Ordner und Dateien (nur Hintergrundbild)
-Desktop mit Ordner und Dateien
-ab hier arbeitet die CPU dann auf Hochtouren und braucht ewig, bis man Programme starten kann, die dann aber auch wieder auf sich warten lassen.

Außerdem werden Dateien von Adobe Photoshop am Desktop (ich glaube es handelt sich um psd-Dateien) bei jedem Start anders dargestellt. (verschiedenste Symbole)

Druckaufträge werden selten bis gar nicht an den Drucker weitergeleitet.

Weitere Vorschläge?!
Soll ich Logs, die nichts ergeben haben auch posten?
Hardware Problem?

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo!

Habe gerade versucht ESET zu starten. Nachdem ich Start-Button gedrückt habe wird Installation bei 4% abgebrochen mit der Fehlermeldung
"Can not get update. Is proxy cofigured?"

Die oben beschriebenen Voraussetzungen sind erfüllt.

Bitte prüfen


Falsche Proxy Einstellungen entfernen

• Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung" -> "Internetoptionen".
• Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und überprüfe ob bei Proxyserver ein Häkchen steht,
  wenn ja -> Entfernen, dann -> OK (sofern nicht richtige Eintragung)

Kästchen "Proxyserever für Lan verwenden" war nicht angekreuzt. (auch kein Eintrag).

Hab' in der Zwischenzeit wiedereinmal Qickscan mit Malwarebytes und AdAware gemacht.
Malwarebytes - kein Fund
AdAware - wie gehabt (Endungen klein wenig anders)

Code: Alles auswählenAufklappen

ATTFilter

Name der Gefahr:      Trojan.Win32.FakeVimes.gen(v)
ntkrnlpa.exe!ZwOpenProcess[78edf8e8d34ecce2.sys!0x8A706E2B]
ntkrnlpa.exe!ZwOpenThread[78edf8e8d34ecce2.sys!0x8A706F54]
0,C:\WINDOWS\system32\drivers\78edf8e8d34ecce2.sys
         

Vielleicht noch etwas von Interesse:
Bei der Reinigungsoption in AdAware habe ich „Quarantäne“ ausgewählt.
System fängt kurz mit der Aktion an und bleibt aber dann stehen bei -->
Reinigung: C:\WINDOWS\system32\drivers\78edf8e8d34ecce2.sys

Adaware kannst du vergessen!
ESET probieren wir später nochmal

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Code: Alles auswählenAufklappen

ATTFilter

 
# AdwCleaner v2.005 - Datei am 17/10/2012 um 21:05:26 erstellt
# Aktualisiert am 14/10/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : user - USERPC
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\user\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gefunden : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\blekko toolbars

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gefunden : HKU\S-1-5-21-682003330-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [1193 octets] - [17/10/2012 21:01:37]
AdwCleaner[R2].txt - [1124 octets] - [17/10/2012 21:05:26]

########## EOF - C:\AdwCleaner[R2].txt - [1184 octets] ##########
         

Habe Programm versehentlich zwei mal laufen lassen!

Hier das erste Log:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.005 - Datei am 17/10/2012 um 21:01:37 erstellt
# Aktualisiert am 14/10/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : user - USERPC
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\user\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gefunden : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\blekko toolbars

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gefunden : HKU\S-1-5-21-682003330-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [1064 octets] - [17/10/2012 21:01:37]

########## EOF - C:\AdwCleaner[R1].txt - [1124 octets] ##########
         

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Hallo!

Spät aber doch das Log.

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.005 - Datei am 19/10/2012 um 19:55:46 erstellt
# Aktualisiert am 14/10/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : user - USERPC
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\user\Desktop\ADWcleaner\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\blekko toolbars

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[S1].txt - [917 octets] - [19/10/2012 19:55:46]

########## EOF - C:\AdwCleaner[S1].txt - [976 octets] ##########
         

Hallo!

ESET online scanner habe ich auch zum Laufen gebracht!

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=40961
esets_scanner_update returned -1 esets_gle=1
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=700ef103cdcb324ea912a41739a2ad88
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-10-20 04:26:47
# local_time=2012-10-20 06:26:47 (+0100, Westeuropäische Sommerzeit)
# country="Austria"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 238646 238646 0 0
# scanned=120645
# found=0
# cleaned=0
# scan_time=21277
         

Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Zu Frage 1)
Eigentlich arbeite ich ganze Zeit im normalen Modus. An sich verhält sich das System ziemlich normal, außer beim Hochfahren. Danach kann ich mit dem PC arbeiten. Ich als Laie würde sagen, dass sich der Virus, Trojaner - was auch immer - bei jedem Sart neu ins System lädt.

Zu Frage 2)
Nein, ich vermisse nichts. Alle Ordenr, Programme und Dateien soweit vorhanden.

Außerdem habe ich in der Zwischenzeit wiedereinmal eine andere Logdatei mit A-Squared erstellt. (10 spuren gefunden)

Code: Alles auswählenAufklappen

ATTFilter

a-squared Free - Version 4.5
Letztes Update: N/A

Scan Einstellungen:

Scan Methode: Schnelltest
Objekte: Speicher, Traces, Cookies
Archiv Scan: An
Heuristik: Aus
ADS Scan: An

Scan Beginn:	20.10.2012 10:53:20

Value: HKEY_CLASSES_ROOT\CLSID\{0A34A626-F478-4DC0-B26F-9DBB0C9CA751}\InprocServer32 --> ThreadingModel 	gefunden: Trace.Registry.Blubster!A2
Value: HKEY_CLASSES_ROOT\CLSID\{1DA6245D-58CA-49ED-9F68-11A3A4250622}\InprocServer32 --> ThreadingModel 	gefunden: Trace.Registry.Blubster!A2
Value: HKEY_CLASSES_ROOT\CLSID\{3C34EAC7-9904-4415-BBE4-82AA8C0C0BE8}\InprocServer32 --> ThreadingModel 	gefunden: Trace.Registry.Blubster!A2
Value: HKEY_CLASSES_ROOT\CLSID\{5F755531-47EE-401D-B39A-15C121E17C48}\InprocServer32 --> ThreadingModel 	gefunden: Trace.Registry.Blubster!A2
Value: HKEY_CLASSES_ROOT\CLSID\{B8A079DF-CA9D-478D-89AB-B75E185E60F4}\InprocServer32 --> ThreadingModel 	gefunden: Trace.Registry.Blubster!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0A34A626-F478-4DC0-B26F-9DBB0C9CA751}\InprocServer32 --> ThreadingModel 	gefunden: Trace.Registry.Blubster!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DA6245D-58CA-49ED-9F68-11A3A4250622}\InprocServer32 --> ThreadingModel 	gefunden: Trace.Registry.Blubster!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3C34EAC7-9904-4415-BBE4-82AA8C0C0BE8}\InprocServer32 --> ThreadingModel 	gefunden: Trace.Registry.Blubster!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5F755531-47EE-401D-B39A-15C121E17C48}\InprocServer32 --> ThreadingModel 	gefunden: Trace.Registry.Blubster!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8A079DF-CA9D-478D-89AB-B75E185E60F4}\InprocServer32 --> ThreadingModel 	gefunden: Trace.Registry.Blubster!A2

Gescannt

Dateien: 	491
Traces: 	671140
Cookies: 	153
Prozesse: 	38

Gefunden

Dateien: 	0
Traces: 	10
Cookies: 	0
Prozesse: 	0
Registry Keys: 	0

Scan Ende:	20.10.2012 10:56:56
Scan Zeit:	0:03:36


Quarantäne

Dateien: 	0
Traces: 	10
Cookies: 	0