Hallo Leute,
ich bin langsam total verzweifelt, da ich seit langem mit - vermutlich immer den gleichen - backdoorviren oder rootkits oder was auch immer kämpfe
Seit meinem letzten Eintrag hier http://www.trojaner-board.de/75151-p...tml#post447091
haben wir den PC schon 2 x wieder neu aufgesetzt - immer wieder das gleiche: PC wird manchmal langsam, beim Tippen, meistens bei Mails hakt die Tastatur, bleibt stehen, legt dann wieder los, Dateien verschwinden etc.
Ich versuche, eine lange Story kurz zu fassen:
Am 17.12 Windows 7 aufgespielt und Bitdefender internet security 10, allerdings waren noch alte Windows-REste da, die Win 7 übernommen hat.
Gleiche Problem wieder, Bitdefender hat weder letztes Jahr noch jetzt irgendwelche Beanstandungen gemeldet. Vor ein paar Tagen gemerkt, dass ich wieder nicht Herr im Hause sprich PC bin, security task manager aufgespielt, der 7 Bitdefender Dateien aus Rumänien, die nicht das BD Icon haben, im Ordner von bitdefender liegen und deren scripte höchst ungewöhnlich sind und auf Malware deuten, als höchst gefährlich ausspuckt - siehe Anhang. Die scripte habe ich alle kopiert.
Bitdefender findet aber nichts, hat noch nie was gefunden, auch der 2009er nicht.
In Bitdefender Systemeinstellungen sind bei mindestens 6 x .exe Zugriff verweigert (u.a. adagent.exe, seccenter.exe, winonlog.exe etc.) und bei sehr vielen Sachen steht: Objekte werden nicht gefunden, soll aktualiseren, bringt aber auch nichts)
Anruf bei Bitdefender, die wollen eine tiefe Systemprüfung und das Protokoll, das spuckt das Programm aber nicht aus, die xml-Datei, die ich schicken sollte, meldet einen unbekanten Fehler, zeigt nur die 4 Laufwerke mit Namen an wie C:, D:, etc. sonst nichts.
Die BD-support-Leute schicken uns eine Notfall-CD, bzw. den Link, wo wir die downloaden können, die rennt unter Linux, auch die findet keine Beanstandungen, Protokoll gibt es wieder nicht.
Allerdings habe ich danach im security Task Manager 2 neue rote höchst verdächtige Einträge: einen von FileZilla, dessen scripteintrag das Versenden von Datenmaterial an einen unregistrieren unbekannten Server zeigt mit einem verschlüsselten alias als Absender und eine Bitdefender-Datei, dessen script sowas wie ein zerstückeltes Problemprotokoll nach dem Aufsetzen im Dez. beschreibt, wo es um falsche Passworteinträge geht.
Ich setzte ein mail auf an den BD-Support mit allen gesammelten screenshots und scripten etc und will es versenden - da blockiert der PC, sendet es nicht, eine komische Fehlermeldung kommt, der Hoster hätte den Begrüßungstext nicht korrekt bekommen, ich solle es später nochmal versuchen. Alle anderen Mailadressen beim gleichen Provider laufen aber anstandslos, ich bekomme dieses Mail nicht raus, auch nicht als Entwurf gespeichert, schicke es schliesslich über webmail direkt vom Server aus weg, sehr seltsam, so was hatte ich noch die, außerdem blockierte meine Tastatur bei dem Mail auffallend oft und lange.
Dann deinstallieren wir den Bitdefender und sehen dabei, dass bei der Deinstallation nur die ersten ca. 10 Punkte ein grünes Häkchen bekommen, alle anderen, eine sehr lange Liste, steht Objekt nicht gefunden!

Bei der Löschaktion hat es uns auch einiges zerhauen von Windows, es wird nichts mehr angezeigt im desktop und in der Taskleiste - also entschliessen wir uns zur Radikalkur - Format C!
Jetzt war wirklich alles! weg, Windows 7 neu aufgespielt und Bitdefender auch und security task manager auch - das wars, das ist der momentane Stand - und ich fasse es nicht, der zeigt das gleiche in grün an wie gestern!!!!
Wieder 6 höchst gefährliche Dateien - die gleichen - wie gestern im Bitdefender Ordner außer den normalen Bitdefender-Dateien mit dem Icon.
Jetzt habe ich HijackThis rüberlaufen lassen, kann aber das logfile nicht abspeichern, das geht nicht, habe auch noch keine anderen Programme aufgespielt, wo ich ein screenshot mit machen kann :-(
Jedenfalls zeigt HijackThis u.a. an:
03 bitdefender toolbar mit einem ganz langen Schlüssel
013 - Gopher Prefix
3 x bitdefender: 004 HKLM run Bitdefender bdagent.exe, IEshow.exe (das sind 2 exe wo in BD-Systemeinstellungen Zugriff verweigert steht!) und Pishing-Helper
3 x 023 wieder alles bitdefender: livesrv.exe, vsserve.exe (auch Zugriff verweigert in Systemeinstellung), arrakis3.exe

Eben kommt ein Mail zurück von Bitdefender, ich könne das Security-Paket nicht ein infiziertes System installieren!!!!
Na klasse, wir haben gerade frisch alles aufgesetzt nur mit Betriebssystem und bitdefender! - das ist dann also ein infiziertes System?????

Himmel nochmal, was sagt denn ihr dazu?

LG
Ulysses

Guten Morgen,
nachdem ich die kostenlose Version von Uniblue Registry Booster 2010 rüberlaufen ließ, kann ich nun zumindest das logfile von HijackThis abspeichern und hier einstellen. Das Programm meldete 49 Fehler in der registry: falsche Verknüpfung, viele falsche Pfade und leere Schlüssel, reparierte aber nur 15 und eben auch die eine falsche Verknüpfung von HiJackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:44:06, on 09.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Christel\Downloads\HijackThis.exe
C:\Program Files\Windows NT\Accessories\WORDPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"
O4 - HKCU\..\RunOnce: [UniblueRegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000
O13 - Gopher Prefix:
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. Antivirus und Internet Security Software - BitDefender Virenschutz - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe

--
End of file - 2686 bytes

Soll ich die kopierten als gefährlich erkannten Scripte vom bitdefender auch hier einstellen?
und noch eine Frage: Warum ist da ausgewiesen Platform: Unknown Windows (WinNT 6.01.3504)? Wir haben Windows 7 aufgespielt oder ist das in der automatischen Anzeige noch nicht drin?

LG