|
Plagegeister aller Art und deren Bekämpfung: Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab !Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.07.2008, 03:03 | #31 |
/// Helfer-Team | Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! Ich hoffe ja auch noch, dass wir das neue Unterforum "Trojaner - Angewandte Psychoanalyse" nicht brauchen werden Ich kann auch verstehen, dass es sein Reiz hätte, der Entdecker eines Supertrojaners zu sein (oder gar des Bundestrojaners?, wow). Die Logs aus dem abgesicherten Modus sind leider nur von begrenztem Wert (ok, ne Spur besser als garnichts). Ähnlich sieht es mit den Rootkitscans aus, entweder sie gehen im abgesicherten Modus garnicht oder ihr Sinn und ihre Aussagekraft ist fraglich. Das sind Spezialscanner, die dauraf ausgelegt sind, im normalen Betriebsmodus von Windows nach Anomalien zu suchen, die ein Hinweis auf das Vorhandensein eines Rootkits sein können (nicht müssen!, da gibt es auch noch Daemon Tools, Security Sweets, Kopierschutztechniken, usw). Nirgendwo in dem Thread sehe ich einen Hinweis auf einen Trojaner, das sind einzig deine Folgerungen. Heutzutage sind die Teile aber eigentlich so gut wie immer nicht mehr daraf angelegt die Anwender zu Ärgern und mit ihnen Psychospielchen zu spielen, sondern darauf, still und und unauffällig zu laufen und derweil die Arbeit möglichst umbemerkt zu tun, mit denen ihre Erschaffer/Käufer/Mieter ihr Geld verdienen. Und wenn dann auch noch die auf einem (hoffentlich) sauberen Computer gebaute BartPE-CD abstürzt (auf dem anderen Computer tut sie das nicht?), dann spircht das noch mehr dafür, dass es keine Malware ist. BartPE ist gerade so gebaut, dass es startet ohne was auf der Festplatte vorauszusetzen, ich hab schon Computer mit BartPE gestartet, in denen war keine Festplatte drin (oder eine mit installiertem Linux). Man kann natürlich beim Bau der CD Sachen einbauen, die dann auf woanders gepsiecherte Dateien zugreifen, aber wenn Du das getan hättest, dann wüßtest du es ja auch. Wenn man dann die verschiedenen Hardwarekomponenten durchgeht, dann kommt man zu Myrtilles Liste: Platte, Speicher, CPU, Board. Sind jedenfalls die üblichen Verdächtigen. Für Platte spräche z.B., dass er bei Scans abstürzt. So ein Scan ist für eine Platte eine überdruschnittliche Belastung, dabei kann sie sich auch stärker erwärmen, so dass es möglich ist, dass eine Platte, die im Ruhebetrieb noch irgendwie es tut, dann Fehler erzeugt. Da kommt es dann drauf an, welche und wo. ein fehlerhaft aus der Swapdatei gelesener Block kann z.B. zum Bluescreen führen, aber auch nur zum Absturz einer Anwendung. Und um deine Hardware mal genauer in Augenschein zu nehmen folgendes: Als erstes alle eventuellen Tuningmaßnahmen an Takten, Frequenzen, Spannungen, usw. rückgängig machen: Alles so einstellen wie es der Hersteller der Komponenten vorgesehen hat. falls du solche Maßnahmen hattest, aber bitte mitteilen: Es kann sein, dass eine Overclocking-geschädigte CPU nicht mal mehr mit dem Originaltakt funktioniert. Im von Myrtille empfohlenen Everst gibt es eine Sektion Sensoren, da kannst du die Temperatur und Spannungsverhältnisse in Echtzeit ansehen. Mach das einmal während du einen Komplettscan diener Platte startest und achte auf Veränderungen. Dann mal chkdsk nutzen und mal das Dateisystem prüfen lassen. Unterhalb der logischen Ebene, auf physikalischer Ebene bietet sich dann Hdtune, Drive Fitness Test (etwas weiter untern auf der Seite, läuft auch mit den meisten Platten anderer Hersteller). Viele Plattenhersteller bieten weitere Testprogramme an. Wenn Du ein schnelles Internet hast (einen anderen Computer hast Du ja), dann solltest Du mal drüber nachdenken, ob Du dir nicht Knoppix runterlädst. Die CD-Version reicht, bei DSL eigentlich schnell getan. Wenn Du von der CD dann startest, und bei der ersten Eingabe "memtest" (ohne "") eingibst startet ein Speichertest. Wenn Fehler gefunden werden, dann werden die im unteren Teil des Bildschirms angezeigt. Auf den drei Screenshots auf der Webseite sind keine Fehler angezeigt, da ist der untere Teil leer (abgesehen von der untersten Zeile). Es empfiehlt sich, diesen Test lange laufen zu lassen, da manche Fehler nur sporadisch auftreten, oder erst dann, wenn der Rechner Betriebstemperatur erreicht hat. Ich hatte mal einen Fall, da gab es die ersten Fehlermeldungen nach ca. 2 Tagen Dauerlauf, aber ein paar Stunden sollten für den ersten Anlauf ok sein, wichtig: Mindestens ein kompletter Pass. Den gleichen in Knoppix integrierten Speichertest bekommst Du einzeln auch hier. Vorteil: deutlich kelinerer Download. Nachteil: beim größeren Download bekommst Du ein komplettes Betriebssystem mitgeliefert, das nichts mit Windows am Hut hat (seine Partiitonen aber lesen kann und seit einiger Zeit auch schreiben). Da wäre es natürlich interessant zu erfahren, wie sich das auf dem System verhält. Es ist übrigens möglich, die Linus-Version von Antivir in ein laufendes Knoppix zu installieren und damit dann zu scannen. Wieviel Arbeitsspeicher ist in dem Rechner eingebaut? Mehr als ein Modul? Dann besteht die Möglichkeit, die Module reihum rauszunehmen un mit jeweils weniger Speicher zu testen. Auch kombinierbar mit memtest. |
09.07.2008, 18:59 | #32 |
| Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! Hallo,
__________________Gegen einen HW-Defekt spricht, dass auch die Installation zig-Megabyte großer Programmpakete und das Speichern und Bearbeiten großer Mengen von Photos und Videos nicht zu den Systemabstürzen führt. Außerdem ist keine Temperaturabhängigkeit beobachtbar. Desweiteren stürzt z.B. der Spybot S&D am Anfang, Luke-Filewalker und der McAffee-Stinger erst nach längerer Laufzeit ab. Ist ein Systemabsturz erfolgt, so folgen oft weitere direkt oder kurz hintereinander. Lässt man den PC mindestens (genau) 1 Stunde ausgeschaltet, so treten die Abstürze nicht mehr auf. Ein Temperaturproblem, dass sich jedesmal nach genau 1 Stunde repariert, ist mir nicht bekannt ! Nur die Benutzung von Outlook, das Laufenlassen von AntiSpyware- und Virenscannern, der Versuch eine lokale Firewall zu installieren und das Eintippen von Wörtern wie "Antivir, Spyware, Sygate, etc." führt zu den besagten Systemabstürzen. Nach dem Wiederstart erscheint immer das in einer meiner vorherigen Antworten beschriebene Fenster mit dem Senden des Problemberichts an Microsoft. Sucht man im Internet unter sysdata.xml, so findet man dass schon jemand ein ähnliches Problem gehabt hat. Das Problem wurde durch Löschen der Dateien in C:\Minidump und Löschen aller Directories der Art C:\Dokume~1\.....und anschließende Defragmentierung von C:\ gelöst, alles übrigens bei ausgeschalteter Systemwiederherstellung und im abgesicherten Modus. Habe durch Anwendung dieser Maßnahmen den PC in einen Zustand gekriegt, in dem die Virenscanner zwar nicht durchliefen, die Systemabstürze aber aufhörten. Das Gleiche gelang durch Löschen von verdächtigen Einträgen mit Hijackthis. Nach dem Systemneustart war das Problem in voller Breite wieder da ! Übrigens, die Abstürze verhalten sich gleich im abgesicherten Modus wie im normalen Modus, das gilt auch für die erwähnten Programme zu Aufspüren von Rootkits. Habe das Problem 2 Monate lang beobachtet. Meiner Meinung nach handelt es sich um Malware, die sich verhält als hätte sie jemand aus mehreren Eigenschaften bekannter Viren und Trojaner zusammengebaut.: Startet sich durch mehrere Registryeinträge immer wieder neu, Verwendet Keylogger, schießt den Rechner ab, kopiert sich immer wieder an andere Stellen, verwendet Reste von deinstallierten Programmpaketen und die Namen von deren .exe-Files um sich darin zu verstecken, schießt viele gängige Antiviren-Antispyware-SW ab, verhindert das Besuchen bestimmter Web-Sites und verhindert die Installation lokaler Firewalls. Deshalb ist es auch bisher nicht gelungen den genauen Namen der Malware herauszufinden ! Gruß, Christian124 |
09.07.2008, 19:33 | #33 |
| Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! Hallo,
__________________Werde die Temperaturmessung trotzdem durchführen. Das System wurde nie getweaked. Die Fehlermeldung aus dem Windows-Problembericht steht in einer meiner vorherigen Antworten, die Fehlermeldung aus dem BSOD werde ich noch aufnehmen, übrigens die Blue Screens treten nur bei Verwendung von BartPE auf. Habe nur Spybot S&D und McAffee-Stinger als Scanner-Plugins. Gruß, Christian124 Geändert von Christian124 (09.07.2008 um 19:37 Uhr) Grund: Scanner-Plugins hinzugefügt. |
09.07.2008, 19:41 | #34 |
| Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! was mich stutzig macht ist, dass das minidump unter C:\DOKUME~1\Loginname\Lokale~1\Temp\WERT577.dir00\ Mini060108-03.dmp gespeichert wird. Normalerweise unter C:\WINDOWS\Minidump überprüfe mal folgende Einstellungen. siehe Anhang |
09.07.2008, 19:43 | #35 |
| Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! Hallo, Hier waren 2 Sachen zu löschen: 1.) die Inhalte von C:\Minidump 2.) alle Directories der Form C:\Dokume~1\... |
09.07.2008, 19:49 | #36 |
| Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! wie sehen deine einstellungen aus? kannst du einen screenshot der einstellung machen? |
09.07.2008, 20:03 | #37 |
| Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! Hallo, Welche Einstellungen sind gemeint ? In welchem Programm ? |
09.07.2008, 20:53 | #38 |
| Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! Hallo, Vielen Dank für die Hilfe, Leider ist mir unerwartet etwas Wichtiges dazwischengekommen, ich muss meine Versuche, den Trojaner zu bekämpfen für 10Tage unterbrechen und dringend verreisen. Danach ist der Trojaner aber mit Sicherheit noch da und ich werde versuchen die Beseitigung fortzusetzen. Habe im Trojanerboard keine Möglichkeit gefunden, den Thread sozusagen für eine bestimmte Zeit anzuhalten, um ihn danach fortsetzen. Bin in 10 Tagen wieder on-line. Nochmals vielen Dank. Gruß, Christian124 |
09.07.2008, 23:23 | #39 | ||
/// Helfer-Team | Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! Klar, viele Möglichkeiten, es könnte sein, es wäre denkbar, ... Zitat:
Wenn Du in einem Onlineforum Hilfe erwartest, dann müssen Fakten auf den Tisch. Logs, Scanberichte, Registryeinträge, was auch immer. Und da sieht dieser Thread extrem dünn aus. Zwei HijackThis Logs (auch noch aus dem abgesicherten Modus), ein paar Daten aus einem Crashbericht. Dann noch ein Gmerbericht, der sehr danach aussieht, dass er unvollständig ist, es fehlen diverse für Antivir typische Einträge (auch abgesicherter Modus?). Im wesentlichen wird hier um die Psyche eines Trojaners herumspekuliert. Der Trojaner das beseelte Wesen. Ok, muss man wohl hinnehmen, ich habe auch schon Threads gesehen, in denen jemand seinen Computer als sein Kind oder Baby bezeichnet hat. Ich kopiere hier jetzt noch einmal eine Anleitung rein. Es ist von extremer Wichtigkeit, dass sie im normalen Modus ausgeführt wird. Zitat:
Die verschiedenen Ordner für Dumps sind normal. In c:\Windows\Minidiump landen die Dumps, die aufgrund von Bluescreens angelegt werden, unterhalb deines Temp-Ordners die, die aufgrund von Anwendungscrashs angelegten. C:\Minidump bin ich noch nicht begegnet, allerdings ist der Ordner für Bluescreen-Dumps konfigurierbar, möglicherweise hat der Mensch, der diesen Ordner ins Internet gepostet hat, das auf seinem System geändert gehabt. Grundsätzlich keine Dumps löschen solange das Problem nicht gelöst ist. Die abgespeicherten Dump-Dateien können höchstens dann ein Problem sein, wenn es um zuwenig Platz auf der Platte geht, in allen anderen Fällen enthalten sie wichtige Informationen, die Du mit den Windows-Debugging-Tools auswerten kannst. Aber wenn wir hier auch noch gegen jeden Mythos, gegen jedes Dummgerücht, das im Internet verbreitet wird, anrudern müssen, ojeh. Schau mal nach, wieviel Dateien in c:\Windows\Minidiump sind. Alles in allem befürchte ich aber immer mehr, dass das hier einer dieser Threads ist, die ergebnislos enden. Du kaufst dir irgendwann einen neuen Computer und das Problem ist weg. Geändert von KarlKarl (09.07.2008 um 23:29 Uhr) |
10.07.2008, 08:48 | #40 | |
| Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab !Zitat:
ich tippe eher auf: 1) Hardware-Probleme (Probs mit SpyBot hatte ich bei auch schon mal, Ursache von Abstürzen bei Belastung kann auch ein sich abzeichnender Tod des Motherboardes sein) 2) intelligenter Troll der Topic ist jedenfalls klasse
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
22.07.2008, 22:33 | #41 |
| Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! Hallo ! Habe die Temperaturen im PC mit Everest ermittelt: Motherboard: 38° CPU: 67° (AMD Athlon(TM) XP 3000+ Seagate-ST3160021A: 53° IBM-DTLA-307045: 56° Das sind ansich keine beunruhigenden Temperaturen. Lüfter: 3553 - 3571 RPM Das Einzige, was ich merkwürdig fand war die Spannung für die CPU von 1,65V, hätte einen Wert in der Nähe von 1,8V erwartet. |
22.07.2008, 22:39 | #42 |
| Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! Hallo , Gegen einen HW-Defekt spricht, dass die Temperaturwerte nicht ungewöhnlich aussehen. Außerdem sehen die Auslastung des Speichers und der Auslagerungsdatei auch nicht ungewöhnlich aus. Es gelang außerdem MS .net upzudaten ca. 70 MByte ohne Absturz. Auch der Bildschirmschoner 3d-Flowerbox erzeugt keine Abstürze. Man kann stundenlang im Internet surfen oder MS-Office Programme benutzen ohne dass Systemabstürze auftreten. |
22.07.2008, 22:41 | #43 |
| Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! Die EInstellungen in "Systemeigenschaften" sehen genauso wie auf der übertragenen Miniaturansicht aus. |
22.07.2008, 22:44 | #44 |
| Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! Habe in der Zwischenzeit einen Scan mit autoruns gemacht. In welchem Format postet man das Log-File, welche Regeln muss man dabei beachten. Möchte nicht noch einmal aus Unwissenheit gegen Regeln des Trojanerboards verstoßen. |
22.07.2008, 22:59 | #45 |
| Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! Hallo ! Mein Interesse ist, rein technisch dieses Problem aufzuklären. Trotz aller Bemühungen ist es mir nicht gelungen festzustellen, ob es sich um ein HW oder ein SW-Problem handelt. Falls Spyware oder Virenscannerprogramme überhaupt liefen, gelang es nicht den Namen einer Malware zu ermitteln. In der Zwischenzeit ist folgendes geschehen: Direkt nach Wiedereinschalten des PCs nach meiner Rückkehr ( 10Tage Pause ) wurden MS Sicherheitspatches heruntergeladen incl. der neuesten Version des Tools KB890830 zum Entfernen bösartiger SW. Danach war das Problem für ca. 5 Stunden weg. SuperAntispyware lief einwandfrei, fand aber nur Cookies und war in der Lage diese zu entfernen. Nach dem Update von MS .net wurde erstmalig ein Neustart gefahren und das Problem ist wieder da ! Läd man KB 890830 vom MS Download-Center und führt das Tool aus, so läuft ein Quick-Scan einwandfrei und findet nichts. Scant man zusätzlich C:\Dokumente und Einstellungen und alle Unterdirectories, so kommt der bekannte Absturz. In C:\Minidump finde ich z.Zt. keine Files. Allerdings sind die Directories C:\Dokume~1\Lokale~1\Loginname\....etc. noch da. Die in einem vorherigen Beitrag erwähnten Scanner-Programme nach einem Rootkit, sofern sie überhaupt laufen, verhalten sich im abgesicherten Modus und im normalen Modus gleich ! Geändert von Christian124 (22.07.2008 um 23:06 Uhr) Grund: Beseitigung Rechtschreibfehler |
Themen zu Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab ! |
amd, amd athlon, anfang, antivir, bartpe, booten, dsl, fehler, festplatte, hijack, hijackthis, installation, internet, links, micro, netgear, neustart, neustart des pcs, programm, programme, rechner, senden, spybot, trojaner, update, windows, windows xp |