Hallo,

erstmal möchte ich sagen, dass ich keine Logfiles oder ähnliches erstellen konnte, da ich mich aktuell nicht am infizierten Rechner befinde. Habe das Problem aber hoffentlich so gut es geht beschrieben.

Ich habe mir letztens nämlich einen Trojaner eingefangen (Win.Trojan.Agent-1426210). Er befindet sich laut der „Desinfec‘t“-CD vom „CT Magazin“ in folgendem Pfad/folgender Datei: /Windows/Temp/VulkanRT/vcredist_x64.exe.

Auswirkungen tut er sich auf das W-LAN. Also der Computer bekommt keine Verbindung mehr bzw. nur kurz, aber wenn man irgendwie surfen mag, bricht er ab.

Meine bisherigen Gegenmaßnahmen waren eine dreimalige Neuinstallation von Windows 10 (zweimal drüber installiert, einmal komplett neu (bei letzterem wurde eine windows.old-Datei erstellt, aber ohne vorherige Formatierung)). Nachdem das alles nichts geholfen hat, habe ich den Trojaner mithilfe der besagten „Desinfec‘t“-CD in Quarantäne verschoben.

Danach konnte der PC zwar wieder eine Internetverbindung über das W-LAN herstellen, aber die Verbindungsanzeige war sehr niedrig (maximal zu 1/4 gefüllt, vorher 3/4). Die Geschwindigkeit ist auch um ca. die Hälfe eingebrochen (ca. 1 Mbit/s, vorher ca. 2 Mbit/s).

Passiert ist auf jeden Fall immer, wenn die Anzeigentreiber installiert worden sind und der PC danach neugestartet worden ist. Es ist zwar auch schon ohne vorheriger Treiberinstallation passiert, aber da auch erst nach einem Neustart. Dennoch hängt es wohl mit den Grafiktreibern zusammen. Meine Recherchen bestätigen dies auch.

Nun meine Fragen:

• Kann dies, trotz Quarantäne immer noch der Trojaner sein?
• Wenn ja, würde eine Neuformatierung bzw. eine Löschung der Partitionen helfen? Zumindest Ersteres konnte ich über den Windows Installer nicht vornehmen.
• Kann der Trojaner den physischen W-LAN-Adapter insoweit beschädigen, dass er nur noch „halb“ funktioniert?
• Kann sich der Trojaner auf der Fritzbox festgesetzt haben und immer wieder zurückkommen, wenn man sich mit der Fritzbox verbindet?

Vielen Dank schon mal für die Hilfe.

Liebe Grüße
Steffen

Zitat:

Zitat von SteAl88

Ich habe mir letztens nämlich einen Trojaner eingefangen (Win.Trojan.Agent-1426210). Er befindet sich laut der „Desinfec‘t“-CD vom „CT Magazin“ in folgendem Pfad/folgender Datei: /Windows/Temp/VulkanRT/vcredist_x64.exe.

Quod esset demonstrandum.

Die Datei AppData/Local/Temp/VulkanRT/vcredist_x64.exe wird von ClamAV als Win.Trojan.Agent-1426210 detektiert. Meiner Meinung nach ein false positive.

Hier wirst Du keinen finden, der diese CD benutzt. Experten raten von Offline-Scans auch ab.
Wie auch immer...Nach

Zitat:

dreimalige Neuinstallation von Windows 10

liegt sehr sicher kein Malware-Problem vor.

Hallo,

danke erstmal für deine Antwort. Wie auch immer du es bezeichnen magst, irgendwas Bösartiges ist in jedem Fall auf meinem Rechner.

Denn zum ersten Mal trat das Problem auf, als ich Dateien von meinem Laptop (der ähnliche Symptome aufweist) auf meinen Desktop-PC ziehen wollte. Also sie waren noch auf dem USB-Stick und als ich da den Virenscanner drüber laufen lassen wollte, brach der Scan ab und die Probleme waren da.

Des Weiteren blinken auch die Programme in meiner Taskleiste in mittelgroßen Abständen auf.

Ein weiteres Indiz ist, dass der "OSHI Defender" den selben Trojaner findet, aber in einem Adobe Ordner. Und die Adobe Software habe ich erst wieder nach dem mehrmaligen Windows installieren neu drauf gemacht.

Anbei meine "FRST"- und die "Addition"-Datei. Ich musste sie aufgrund der Größe leider anhängen. Vielleicht hilft das ja weiter. Vielen Dank schon mal.

Sag mal wie kommt man denn auf die Idee den Oshi-Defender zu installieren? Haste dafür schon Geld ausgegeben?

Für mich sieht der PC auf den ersten Blick sauber aus.

Schritt 1
Downloade Dir HitmanProauf Deinen Desktop:

HitmanPro-32 Bit Version
HitmanPro-64 Bit Version

• Starte die HitmanPro.exe
• Klicke auf
  
• Entferne den Haken bei
  
• Klicke auf
  und
• Akzeptiere die Lizenzbedingungen und klicke auf
• Klicke auf
  
  und auf
• Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
  und speichere die Logdatei auf Deinem Desktop.
• Schließe HitmanPro und poste mir das Log.

Schritt 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Nein, habe ich nicht. War nur mal ne Idee, um zu schauen, was der so findet.

Anbei nun das Hitman-Log:

Code: Alles auswählenAufklappen

ATTFilter

HitmanPro 3.7.14.276
www.hitmanpro.com

   Computer name . . . . : DESKTOP-O7R7EUJ
   Windows . . . . . . . : 10.0.0.10586.X64/8
   User name . . . . . . : DESKTOP-O7R7EUJ\S. *****
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2016-09-23 00:49:16
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 2m 55s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 1

   Objects scanned . . . : 1.143.822
   Files scanned . . . . : 14.333
   Remnants scanned  . . : 213.882 files / 915.607 keys

Suspicious files ____________________________________________________________

   C:\Users\S. *****\Downloads\FRST64.exe
      Size . . . . . . . : 2.402.816 bytes
      Age  . . . . . . . : 0.9 days (2016-09-22 02:15:03)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : 60C9CCAA2604B0EC8254236AE57A3704B02DBC4044975260E942D7A47733CDB3
      Needs elevation  . : Yes
      Fuzzy  . . . . . . : 24.0
         Program has no publisher information but prompts the user for permission elevation.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.
      Forensic Cluster
         -1.2s C:\Users\S. *****\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\Temp\NVIDIA Corporation\NV_Cache\6662bc6f7f5f4b37d78be2aaae5e8289_fce8395c8fd8a99b_abdb79e79164a64e_4_1.bin
          0.0s C:\Users\S. *****\Downloads\FRST64.exe
         

Und das ESET-Log:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=ae18e8c896aee944888bc6500cc7ce76
# end=init
# utc_time=2016-09-22 10:55:53
# local_time=2016-09-23 12:55:53 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT 
Update Init
Update Download
Update Finalize
Updated modules version: 30841
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=ae18e8c896aee944888bc6500cc7ce76
# end=updated
# utc_time=2016-09-22 11:00:13
# local_time=2016-09-23 01:00:13 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT 
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=ae18e8c896aee944888bc6500cc7ce76
# engine=30841
# end=stopped
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-09-22 11:01:12
# local_time=2016-09-23 01:01:12 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.2.9200 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 0 28399415 0 0
# scanned=8495
# found=0
# cleaned=0
# scan_time=58
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=ae18e8c896aee944888bc6500cc7ce76
# end=init
# utc_time=2016-09-22 11:01:47
# local_time=2016-09-23 01:01:47 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT 
Update Init
Update Download
esets_scanner_update returned -1 esets_gle=53251
Update Finalize
Updated modules version: 30841
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=ae18e8c896aee944888bc6500cc7ce76
# end=updated
# utc_time=2016-09-22 11:02:27
# local_time=2016-09-23 01:02:27 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.2.9200 NT 
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=ae18e8c896aee944888bc6500cc7ce76
# engine=30841
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-09-22 11:17:25
# local_time=2016-09-23 01:17:25 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.2.9200 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 0 28400388 0 0
# scanned=141590
# found=0
# cleaned=0
# scan_time=897
         

Wie gesagt, PC sieht sauber aus.

Aber irgendwas muss ja sein. Kann sich denn was im BIOS eingenistet haben? Ich weiß, unwahrscheinlich, aber sag niemals nie.

Da kann ich Dir dann sowieso nicht übers Forum helfen.
Im Übrigen, was soll da nach mehreren Neu-Installationen sein? Malware die man nicht sieht, die bemerkt man auch nicht.

Würde mal den Router zurücksetzen, Firmware auf Updates prüfen usw.

Okay. Aber Router zurücksetzen, Firmware auf Updates prüfen, usw. würdest du machen, damit generell ein Verbindungsproblem gelöst wird oder weil du denkst, dass der Router vielleicht irgendwie infiziert worden ist?

Die Logs zeigen keine Auffälligkeiten hinsichtlich einer Routerinfektion.

Hi, vielen Dank nochmal für deine Hilfe. Ich melde mich jetzt erst wieder, weil es erstmal keine weiteren Probleme gab. Die Verbindung war zwar mal schlechter, dann wieder besser, etc., aber es funktionierte.

Nun gibt es aber wieder Auffälligkeiten. Die eine davon besteht auch schon etwas länger. Mein Mitbewohner hat nämlich erzählt, dass er auch Probleme mit dem Internet hat. Unter anderem gab es einen mehrstündigen Ausfall und immer mal wieder kleinere Ausfälle.

Die andere Auffälligkeit ist, dass wenn ich bei meinem PC die Anzeige auf meinen Fernseher erweitere, dass dann das W-LAN die selben Probleme macht wie vor meinem Virus-Check mit der CD vom ct-Magazin. Lasse ich danach das Bild nur auf einem Monitor anzeigen, muss ich mich zwar wieder mit dem W-LAN verbinden, aber es funktioniert. Sogar mit bestem Empfang.

Zur Erinnerung: Nach der Neuinstallation von Windows war das ja auch gut, aber sobald sich die Grafiktreiber installiert hatten und der PC neugestartet worden ist, war das Problem wieder da.

• Nun die Frage: Kann sich der Virus über den W-LAN-Router verbreitet haben?
• Und warum ist der Virus von den Grafiksachen abhängig?

Eine Neuinstallation der Treiber (Grafik sowie W-LAN-Adapter) hat nicht geholfen.

PS.: Ich bitte dich mal zu vergessen, dass die Log-Dateien und Scanner nichts Auffälliges vorzuweisen hatten.

Bitte denk dran, dass meine Probleme losgingen, als ich Dateien von meinem verseuchten Laptop auf meinen PC ziehen wollte und das Problem das selbe ist, wie auf meinem Laptop.

Des Weiteren hatte die ct-Antivirus-CD ja auch etwas gefunden und entfernt bzw. in Quarantäne verschoben. Denk auch hier bitte nicht daran, dass es sich um ein "false positive" handeln könnte, sondern dass das der mögliche Grund für die Probleme ist. Denn immerhin war der PC zum Zeitpunkt des Säuberns so gut wie neu.

Also auch wenn viele Dinge einen sauberen Anschein machen, irgendwas virenmäßiges muss ja drauf sein. Ggf. unsichtbar. Auch wenn du sagtest, dass Malware erst auffindbar ist, sofern sie Auswirkungen auf das System hat. Vielen Dank

Zu dem Thema habe ich alles gesagt. Ein "unsichtbarer Virus" der 3 Neu-Installationen überlebt (also eigentlich "schlau" sein sollte) sich aber dann durch "Auffälligkeiten" bemerkbar macht, kenne ich nicht.

Zitat:

Des Weiteren hatte die ct-Antivirus-CD ja auch etwas gefunden und entfernt bzw. in Quarantäne verschoben

Ja,

Zitat:

Die Datei AppData/Local/Temp/VulkanRT/vcredist_x64.exe wird von ClamAV als Win.Trojan.Agent-1426210 detektiert. Meiner Meinung nach ein false positive.

Hinweise zum Router habe ich gegeben.

Thema für mich erledigt.

Würdest du mir dann den gefallen tun und meine Anfrage an einen Kollegen weitergeben? Vielleicht kennt der ja so einen Virus oder weiß zu helfen. Ist ja wie bei der Ärzten; man soll sich immer mehrere Meinungen anhören.

Und das aufgrund der Datenübertragung irgendwas faul ist, lässt sich ja nicht abstreiten.

Danke.

Es steht Dir frei einen neuen Thread zu eröffnen.