Sophos On-Access-Scan wird deaktiviert; Win7 Sicherheitscenter wird deaktiviert; PC startet neu
 

Hallo zusammen,

ich habe ein Problem mit meinem ca. 1 Jahr alten Win7-64-bit-Laptop von Lenovo.

Mir ist bisher zwei, drei mal folgendes passiert:

Während dem normalen PC-Betrieb (Musik hören über Winamp, surfen im Internet mit Firefox und auf Facebook mit Google Chrome) meldet Sophos Antivirus plötzlich ohne vorherige Ankündigung, dass die "On-Access-Scans" deaktiviert wurden.
Kurz darauf meldet das Fähnchen vom Windows-Wartungscenter, dass das "Windows Sicherheitscenter deaktiviert" wurde (den genauen Wortlaut hier habe ich leider nicht im Kopf, in dem Moment war ich immer total baff und es ging relativ schnell). Weiterhin werden automatisch die Firewall von Windows und andere Sicherheits-Einrichtungen deaktiviert.
Dann dauert es geschätzte 20 Sekunden, dann ist der Rechner plötzlich komplett aus (wie wenn man einfach den Saft abgedreht hätte) und er fährt wieder hoch.

Nach dem Hochfahren verhält sich Sophos wieder ganz normal (On-Access-Scans sind wieder aktiviert) und auch das Wartungscenter vermeldet nur, dass geraten wird, eine Sicherung der Dateien anzulegen (das tut es andauernd, auch vor dem Auftreten des beschriebenen Fehlers).

Anderes evtl. sicherheitsrelevantes, seltsames Verhalten meines Laptops ist mir bisher noch nicht aufgefallen.

Gemäß der Anleitung hab ich zuerst defogger heruntergeladen und ausgeführt.
Ich hatte den Eindruck, dass defogger nichts deaktiviert hat (ich musste nicht neustarten, es ging ganz schnell; außerdem hatte ich nie CD-Emulatoren auf dem Laptop; mit VM-Ware habe ich allerdings zwei virtuelle Maschinen auf dem Laptop, hat das vielleicht einen Einfluss?).

OTL brachte mit deaktivierten Programmen folgende Ergebnisse:

OTL.txt:
OTL Logfile:
--- --- ---



Extras.txt, gmer.txt:
Da der Beitrag zu groß wurde (> 120 000 Zeichen), diese beiden Logfiles als .txt-Dateien im Anhang als Logfiles.zip.


Die drei Programme liefen ohne Probleme durch, ich konnte die Anleitung abarbeiten.

Allerdings musste ich vor dem Download von OTL und vor der Ausführung diverse Online-Scans und den Web-Schutz von Sophos deaktivieren. Sophos hat da gemeckert und Malware erkannt.

Könnt ihr mir Helfen in welche Richtung ich weitersuchen muss? Sieht man in den Logs etwas Verdächtiges?


Vielen Dank für eure Mühe,
Stefan (Ömerich)


[edit]
Jetzt ist mir grade noch was eingefallen:
Relativ kurz nachdem ich mir den Laptop gekauft habe, hatte ich schon mal eine etwas sonderbare Fehlermeldung von "Zeitplan Hardware-Scan" die wie folgt lautete:
"Lenovo Solution Center zur Ausführung geplant ist ein hardware check up. Ist es OK, um es auszuführen?" mit zwei Buttons "Ja" und "Nein".
Ich habe deswegen auch schon mal bei Lenovo angerufen und wollte herausfinden, ob diese Meldung authentisch (also von Lenovo ist) oder eventuell Malware (wegen dem seeehr holprigen Deutsch).
Der Herr am Telefon konnte allerdings mein Problem mit der Semantik nicht nachvollziehen und meine immer nur, das sei schon OK, er wüsste nicht, was mit meinem PC nicht in Ordnung sei, ich sollte doch einfach den Hardware-Scan ausführen.
Ich habe dann aufgelegt und die Fehlermeldung mit "Nein" weggeklickt und den Hardware-Scan nie gemacht.
[/edit]

Hallo und :hallo:

Warum hast du eine Professional-Edition von Windows, brauchst du das als Heimanwender?
Oder ist das rein zufällig ein Büro-/Firmen-PC bzw. ein Uni-Rechner?


Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die jemals fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Moin Cosinus!

Ja, es ist ein Uni-Notebook. Die Windows-Version ist die, die vorinstalliert war.

Also im Sophos-Log stehen ganz oft Zeilen à la:
Diese kommen ein bis drei mal pro Tag vor.

Ansonsten soweit ich gesehen habe nur noch die schon erwähnten Warnungen vor OTL.exe und gmer.

Hier mal der ganze Log von Sophos:
Im Quarantäne-Manager von Sophos stehen noch zwei Einträge:

Typ: Verdächtiges Verhalten; Name: HIPS/RegMod-009; Details: C:\Users\STefan\Desktop\OTL.exe; Verfügbare Maßnahmen: Zulassen
Typ: Adware/PUA; Name: WhenU Installer; Details: Adware (E:\DAEMON Tools\SetupDTSB.exe); Verfügbare Maßnahmen: Bereinigen, Zulassen

Das Daemon-Tools-Setup ist wohl noch von einer alten Sicherungs-Festplatte, die nicht mehr am Rechner hängt. Hab das Setup aber auf diesem Rechner nie aufgeführt, hier war Daemon-Tools noch nie drauf.


Das Windows-Sicherheitscenter hat mal den Fund von "Win32/Small.CA-Virus" auf meinem Rechner gemeldet. Hab nach dem Thema ein wenig gesucht und anscheinend handelt es sich um ein Problem zwischen Windows und Sophos (False Positive). Nach einigen Reparaturversuchen mit dem Sicherheitscenter und der Problembehandlung von Windows gabs aber da keine Meldungen mehr.

Beste Grüße,
Oemerich

Was genau heißt das, ist das dein Rechner oder gehört der Rechner der Uni bzw. ist in der Uni-Domäne und wird vom Uni-EDV-Team administriert?

Hysterische Meldungen, OTL ist ein Fehlalarm und das alte von den dtools ist nur ein Fund weil der Installer potentiell Adware installieren kann.


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Uni-Notebook heißt bei mir lediglich, dass ich es bei Lenovo als Student mit Uni-Rabatt gekauft habe. Das Notebook gehört mir und wird nur von mir selbst privat und fürs Studium genutzt. Die Windows-Version ist die, die ab Werk auf dem Laptop installiert war.

FRST hab ich vom Desktop aus ohne weitere Vorkehrungen ausgeführt, so wie du es in deinem Post geschrieben hast. Ist das OK so oder soll ich es wie in der von dir verlinkten Beschreibung zu FRST vom BIOS aus mit den erweiterten Startoptionen vom USB-Stick aus ausführen?


Hier die FRST.log:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---



und die Addition.log:

Dann ist alles ok :abklatsch:
Ich will immer nur sichergehen, dass net iwelche "cheffies" hier für lau ihre Büro-PCs reinigen lassen, denn das gefährlich in vielerlei Hinsicht

Mach bitte ein Log mit MBAR:

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Habe mabr zwei mal durchlaufen lassen, es wurde aber beide Male nichts gefunden.

Allerdings bekam ich vor dem ersten Start die im Anhang befindliche Fehlermeldung. Ich hab dann auf "Ja" geklickt und mabr hat dann gestartet.

Hier noch der erste Log:
und Numero zwo:

aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).




TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

aswMBR hat sich mit den Standard-Einstellungen aufgehangen beim Scannen von "C:\Windows\assembly\GAC_MSIL\Microsoft.TeamFoundation.WorkItemTracking.[?]".

Ohne AV-Scan brachte es folgendes Ergebnis:


TDSSKiller hat nichts gefunden:

JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Im Anschluss:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.

JRT:


ADWcleaner:


OTL.txt:

Extras.txt als Zip-Archiv im Anhang, weil es sonst mehr als 120000 Zeichen sind.

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Vollscan mit Malwarebytes Anti-Malware (MBAM) (falls du vor kurzem erst einen Vollscan gemacht hast, reicht auch ein Quickscan (spart Zeit), das dann mir bitte auch mitteilen)

Hinweis: Denk bitte vorher daran, Malwarebytes Anti-Malware über den Updatebutton zu aktualisieren!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Vollscan mit MBAM brachte folgendes Ergebnis (keine Funde):

Beim ESET Online Scanner habe ich Probleme.
Ich komme nur bis zum Punkt
Hier bekomme ich den Fehler "Can not get Update. Is Proxy configured?".
Davor beim ersten mal "Start" drücken bei "Downloading Components" macht er das ohne Probleme.
Sollte ja auch funtionieren, bin über Ethernet und meinen Router direkt mit dem Internet verbunden, ohne irgendwelche Proxies. Deswegen habe ich auch keinen Haken bei "use custom proxy settings" gesetzt.
Internetzugang habe ich laut Windows (Symbol in der Taskleiste über die Netzwerkconnectivität) und Firewall sowie Antivirus sind deaktiviert, trotzdem lädt er seine Signaturen nicht.
Wo könnte da der Fehler liegen?

Hast du den Smart Installer per Rechtsklick als Administrator ausgeführt?

Das war das Problem. :)

Eset war anscheinend noch ziemlich fleißig: