Schönen guten Tag!

Nachdem ich schon im Forum gesucht und einiges ausprobiert habe und dies trotzdem nichts gebracht hat, habe ich mich jetzt mal hier angemeldet.

Also ich habe folgendes Problem:
Vor ca. 2 Wochen surfte ich im Internet und es kamen mehrere Popups, die einen Trojaner meldeten und einen Virenscanner installieren wollten. Diese Popups habe ich alle direkt geschlossen. Avira hat kurz danach einen Trojaner und einen Wurm gemeldet.
Seitdem werden meine Google-Suchergebnisse manchmal auf andere Seiten umgeleitet. Leider habe ich noch nicht erkannt, wann umgeleitet wird und wann nicht, es scheint zufällig zu sein. Wenn die Suchergebnisse umgeleitet werden erscheint auf der Suchergebnis-Seite nicht das normale Google-Logo, sondern ein Bild mit verschiedenen Google-Grafiken.
Außerdem wird bei einigen Webseiten der Arbeitsspeicher immer mehr vollgemüllt, so lange bis der Speicher und die Auslagerungsdatei voll sind und der Rechner somit nur noch extrem langsam läuft. Das Problem tritt bei Firefox und Internet Explorer auf. Am Anfang trat das bei allen Seiten auf, mittlerweile scheint es nur noch bei einigen Seiten (z.b. Youtube, Studivz) zu passieren und auch nicht immer.
Bei Emule tritt das gleiche Problem auf. Nach ca. einer Minute steigt der Speicherbedarf immer mehr an bis der Speicher voll ist, teilweise mit 50 bis 100 MB/Sekunde
Mir ist auch noch aufgefallen, dass seit dem Auftreten der Popups der Ruhemodus meines Laptops nicht mehr funktioniert. Statt in den Ruhemodus zu wechseln wird der Bildschirm abgeschaltet, der Laptop läuft weiter und man kann nichts mehr machen.

Als erstes ließ ich Avira und Malwarebytes Anti-Malware durchlaufen. Avira fand nichts, MBAM meldete 48 infizierte dateien.
Ein Freund meinte, ich sollte mal Kaspersky Security Lab laden. Ich habe die Testversion geladen, diese fand einige Trojaner. Aber weil Kaspersky immer wieder abstürzte habe ich es wieder deinstalliert und Avira wieder installiert.
Nachdem ich hier im Forum ein Thema mit einem ähnlichen Problem gefunden hatte, probierte ich GMER aus. GMER meldete
"Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] pxzlpwm <-- ROOTKIT !!!"

Als ich heute meinen Firefox startete, erschien ein Fenster mit einem gefälschten Sicherheitscenter, welches einen Virenscanner installieren wollte. Seitdem kommen ständig immer wieder diese Fenster. Mein normales Sicherheitscenter funktioniert nicht mehr, Avira lässt sich auch nicht mehr öffnen, der Guard scheint aber im Hintergrund trotzdem zu laufen, Malwarebytes Anti-Malware geht auch nicht mehr. Ich ließ GMER nochmal laufen, wie es aussieht habe ich jetz noch ein Rootkit.
"Service C:\WINDOWS\system32\drivers\H8SRTpuxtimpuxt.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!"

Jetzt habe ich den CCleaner laufen lassen. MBAM läuft wie gesagt nicht. RSIT funktionierte.

Ich habe die Logfiles in ein RAR-Archiv gepackt, das müsste sich unter h**p://www-user.tu-chemnitz.de/~sctony/logfiles.rar herunterladen lassen. Darin sind Logfiles von RSIT, GMER von heute und vom 20.12. und MBAM vom 20.12.

Ich hoffe, diese Infos reichen erst einmal aus und mir kann jemand helfen, diese Probleme zu beheben, im besten Fall ohne Neuaufsetzen des Systems. Danke schonmal für eure Hilfe.

MfG sctony

Hallo und Herzlich Willkommen!

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:
- Folgende Ergebnisse möchte ich noch sehen:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
         

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Bedienungsanleitung für GMER beachten, musst nicht nochmal herunterladen wenn Du richtig installiert hast!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Hallo. Danke für die schnelle Antwort.

Zitat:

Zitat von Coverflow

- Folgende Ergebnisse möchte ich noch sehen:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
         

Nachdem ich die mbam.exe umbenannt hatte ging das Programm auch. Den Scan hab ich allerdings erst nach den anderen Punkten gemacht, weiß nicht ob das was ausmacht. Das logfile gibts hier:
http://www-user.tu-chemnitz.de/~sctony/mbam.txt

1.
http://www-user.tu-chemnitz.de/~sctony/hijackthis.log

2.
erledigt

3.
http://www-user.tu-chemnitz.de/~sctony/filelist.txt

4.
http://www-user.tu-chemnitz.de/~sctony/install.txt

5.
http://www-user.tu-chemnitz.de/~sctony/gmer.txt

MfG sctony

Zitat:

Zitat von sctony

Nachdem ich die mbam.exe umbenannt hatte ging das Programm auch. Den Scan hab ich allerdings erst nach den anderen Punkten gemacht, weiß nicht ob das was ausmacht.

ja, alle Logs brauche ich ganz neu erstellt, möchte ich sehen was noch zu tun ist

Hallo und frohes neues Jahr.

Hier also die neuen Logfiles:
http://www-user.tu-chemnitz.de/~sctony/mbam.txt

1.
http://www-user.tu-chemnitz.de/~sctony/hijackthis.log

2.
erledigt

3.
http://www-user.tu-chemnitz.de/~sctony/filelist.txt

4.
http://www-user.tu-chemnitz.de/~sctony/install.txt

5.
http://www-user.tu-chemnitz.de/~sctony/gmer.txt

MfG sctony

Falls das eventuell noch etwas nützt:
Mir ist aufgefallen, dass mein Sicherheitscenter ständig deaktiviert ist und es sich auch nicht starten lässt. In den Diensteinstellungen habe ich auf "Automatisch starten" eingestellt, sobald ich aber mit OK bestätige ist es wieder deaktiviert.
Außerdem startet Avira beim Hochfahren von Windows nicht mehr und lässt sich danach auch nicht manuell starten.
MfG sctony

hi

sieht nicht gut aus

1.

Code: Alles auswählenAufklappen

ATTFilter

eMule
         

Zitat:

Internet-Tauschbörsen gehören leider zu den unseriösesten Anbietern, und dort werden sehr viele Schädlinge verbreitet, hierbei sollte deshalb, wenn überhaupt, nur ganz besonders vorsichtig umgegangen werden ! Laut Studien sind bei den Tauschbörsen bei 45% der zum Download angebotenen Dateien, Viren oder Würmer und sonstige Schädlinge enthalten!
Hinzu kommt noch, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind, und damit die Nutzer verleitet werden, „Straftaten“ zu begehen!

Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code: Alles auswählenAufklappen

ATTFilter

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:PROGRA~1ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:PROGRA~1ICQ6\ICQ.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
         

3.
Alte Java-Versionen entfernen:
- Lade Dir JavaRa von prm753 herunter
- auf dem Desktop entpacken
- die JavaRa.exe per Doppelklick starten
- wähle "Remove Older Versions" und klicke auf "Yes
- wird ein Log erstellt, kannst Du speichern (posten nicht nötig)

Installiere die Offline-Version von Java Java Runtime Environment (JRE) 6 Update aktuelle Version ) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url]

4.
Adobe Reader aktualisieren :
Adobe Reader
Gegensatz zur Software von Adobe, der Foxit Reader ist eine kostenlose, schlanke und schnelle Software um PDF-Dateien zu öffnen: Foxit PDF Reader 3.1.1.0901

5.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
H8SRTd.sys 
pxzlpwm  
Files to delete:
C:\WINDOWS\system32\krl32mainweq.dll
C:\WINDOWS\system32\srcr.dat
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
         

→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

6.
den Quarantine-Inhalt löschen danach update Malwarebytes Anti-Malware, lass es nochmal laufen, lösche alles, was gefunden wird,Log posten

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

1.
registriert

2.
erledigt

3.
erledigt

4.
erledigt

5.
http://www-user.tu-chemnitz.de/~sctony/avenger.txt

6.
http://www-user.tu-chemnitz.de/~sctony/mbam.txt

MfG sctony

Beachte bitte für weiteres!:

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

also alle Ergebnisse da reinkopieren und in Code-Tags setzen!


- Malwarebytes
"No action taken"? - Funde bitte löschen lassen!

1.
- den Quarantäne Ordner überall leeren (Funde löschen) - Antivirus bzw Anti-Spy-Programm usw
- C:\avenger\backup.zip löschen– (mit den Inhalt der gelöschten Dateien) → Papierkorb leeren

2.
** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren")

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

5.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

6.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

1.
C:\avenger\backup.zip nicht gefunden. Sonst erledigt.

2.
erledigt

3.
erledigt

4.
erledigt

5.
http://www-user.tu-chemnitz.de/~sctony/SUPERAntiSpyware.log

6.
http://www-user.tu-chemnitz.de/~sctony/kaspersky.html

MfG sctony

hi

Läuft dein System stabil? Hast du sonst noch Probleme?

Hallo.

Also wie es aussieht läuft alles wieder ohne Probleme.
Vielen vielen Dank für deine Hilfe!

MfG sctony

hi

- eventuell kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen:
- Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern

Code: Alles auswählenAufklappen

ATTFilter

bitdefender
emsisoft
ESET Online Scanner 
f-secure
         

ansonsten:
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus

Lesestoff:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* [/url] - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 2-3 Monate ändern)
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com

Zitat:

Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -

wünsch Dir alles Gute