|
System sehr langsam; Wurmkur? Hallo. Mein System ist seit geraumer Zeit deutlich langsamer als zuvor. Bisher war mir das einigermaßen egal, da sonst keine negativen Effekte wahrnehmbar waren. (ZoneAlarm meldete regelmäßig, daß ein Dienst nach Hause telefonieren wollte, aber das hab ich dann stets unterbunden.) Gestern aber habe ich gesehen, daß meine ungebetenen Gäste inzwischen sogar meinen Speicherstick bewohnen wollen. Die UFO.exe mit "versteckt"-Attribut hab ich an VirusTotal geschickt, mit folgendem Ergebnis: Eins der vielen google-Ergebnisse brachte den kleinen Freund gar mit dem storm-BOTnet in Verbindung. Also hab ich doch mal Winpooch angeworfen und der schlug immer dann an, wenn oben erwähnter Dienst rauswählen wollte. WP teilte mir mit, wo die benannte LongX911.Exe sich aufhielt, und ich schickte zügig auch hiervon eine Kopie an VirusTotal: Sofort nachdem Winpooch oder ZoneAlarm die Anfrage ablehnten, verschwand die LongX911.Exe auch wieder, um ein, zwei Stunden später, beim nächsten Anlauf wieder aufzutauchen. Danach hab ich mal HijackThis gucken lassen. Der fand im System32-Ordner eine secpol.exe, auch "Niojec.gen"-infiziert. Außerdem wurde beim Start eine fsmgmt.dll geladen, auch "Eldorado"-infiziert, laut VirusTotal. Ein aktueller HJT-Log sieht so aus: Code: Logfile of Trend Micro HijackThis v2.0.2Danach nochmal SmitFraudFix: Code: SmitFraudFix v2.323Mir ist auch aufgefallen, daß das System mit normaler, althergebrachter Geschwindigkeit läuft, wenn ich einen bestimmten "svchost"-Prozess (ca 4kB groß, wohl der gehighjackte) manuell beende. Leider geht danach ziemlich sofort die Meldung auf, RPC-Dings sei unerwartet beendet worden und nach einem 60 Sekunden-Countdown fährt das System runter. "Mach alles platt und spiel neu auf" ist schnell gesagt und würde sich im Normalfall auch von selbst verstehen, aber jetzt ist meine Neugier geweckt. Wenn es nicht ewig dauert und unendlich kompliziert ist, interessiert mich einfach, wie solche Malware heutzutage ungefähr arbeitet und ob man dem mit viel Kleinarbeit von Hand beikommen kann. Vielleicht fällt einem dazu ja eine Vorgehensweise ein. "Nö, Rootkit. Gearscht" wäre natürlich auch eine (nicht so lehrreiche) Option. btw: Ich hatte mal ein kleines Tool, evtl sogar von Microsoft selbst, das die einzelnen Prozesse näher analysierte und das anzeigte. So daß da nicht nur achtmal "svchost" steht und man sich denkt "Mmmmmhhh...". Jemand ne Idee, wie das heissen könnte? |
Benütze Combofix so wie es hier "BataAlexander" geschrieben hat: http://www.trojaner-board.de/53665-h...uswertung.html |
Bitte (noch) nicht Combofix anwenden, sondern erst mal Malwarebytes. |
Vielen Dank erstmal. Malwarebytes sagt: Code: Malwarebytes' Anti-Malware 1.15Was sagt ihr? |
Bzw. warum erst das eine, dann das andere. Ein paar Worte zur Begründung wären nett. Als ich das letzte Mal Probleme mit Malware hatte (vor 4-5 Jahren) waren das meistens noch eigene Prozesse, die man u.U. im Taskamanager beenden konnte, um sich dann dem Säubern der Platte zu widmen. Gibt es eurer Meinung nach eine Möglichkeit, den Tunichtgut aus dem Speicher zu kriegen, ohne daß Windows runterfährt (s.o.)? |
Zitat:
Aktuelle Viren sind mit denen von vor vier Jahren nicht mehr zu vergleichen, allein die Bezeichnung der jeweiligen Gattung wird schwierig, da Viren nicht mehr nur eine Funktionnalität eingebaut bekommen. Es sieht nach einer Silly Infektion aus, daher starten wir jetzt doch mal Combofix. ComboFix
Wichtige Hinweise:
Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Zitat:
Code: ComboFix 08-06-08.5 - m 2008-06-09 13:29:24.1 - NTFSx86Code: Logfile of Trend Micro HijackThis v2.0.2Ich frage mich, warum ComboFix nur einen Monat zurück schaut. Der Schaden besteht zweifelsohne schon deutlich länger. Und, hat der jetzt was gefunden? |
Meldet ZoneAlarm den Zugriff immer noch? Du meinst der Infektionszeitpunkt liegt mehr als 30 Tage zurück? Das ist dann aber schon sehr lange, warum meldest Du Dich erst jetzt? Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Credits to Karl83 / KarlKarl :) Zur weiteren Untersuchtung würde ich gerne folgende Tools anwenden lassen Flister
GMER - Rootkit Detection * Lade Gmer von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden. Edit: Datei angehängt |
Zitat:
FileList zählt auf: Code: ----- Root ----------------------------- Um beides direkt hier einfügen war's ca. 40.000 Zeichen zu lang. Kein Scherz! Dazu muss ich sagen, daß die Dateien mit dem _Untenstrich davor von mir selbst (im abgesicherten Modus) per Hand umbenannt wurden, nachdem ClamAV da angeschlagen hatte. An alle hilfsbereiten Erklärbären: BataAlexander ist erstmal weg, wie er mir eben mitteilte. Wenn also bitte jemand anders übernehmen könnte...? edit: Achso, ob ZoneAlarm noch den Kontaktaufnahme-Versuch meldet? Nee, dieses 4-6malige rauswählen hat der Knilch dankenswerterweise eingestellt. Der fragt nur noch ein einziges Mal, wenn er merkt, daß es softwareseitig ans Netz geht. |
Kann mir noch jemand weiterhelfen? Wenn das die Forenregeln nicht zu sehr untergräbt, erinnere ich einmal am Tag an mein Anliegen. |
Hallo-ho? Will mir keiner mehr helfen? Ich glaub, ich frag bald mal in nem anderen Forum. |
Ich sehe da nichts, alles nur Zonealarm und Alcohol Einträge. Diese Dateien Zitat:
Woe verhält sich der Rechner denn nun? |
Hab ich doch schon. Siehe mein allererster Beitrag: Zitat:
Direkt da drüber hatte ich Screenshots entsprechender VirusTotal-Ergebnisse. Gerne mache ich das für dich nochmal: secpol http://s6.directupload.net/images/080612/smyyzgbj.png fsmgmt http://s2.directupload.net/images/080612/fwx52d9z.png Zur momentanen Lage: Der Kerl fragt gelegentlich noch nach, ob er online darf. (Das sieht dann so aus.) Allerdings nur noch alle paar Stunden einmal. Und insgesamt alles sehr langsam. Wenn ich den RPC-svchost-Prozess beende wird's wieder flüssig, aber nach einer Minute ist dann automatisch Schluss (s.o.). |
Bitte führe einmal dies aus. SDFIX ausführen Download SDFix und speichere es auf dem Desktop. Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken (X = Dein Windowslaufwerk)
|
SDFix sagt Code: SDFix: Version 1.191 Ob sich die Geschwindigkeit verändert kann ich noch nicht sagen. Jedenfalls hat Winpooch sich mal wieder über svchost beschwert und beim Anschalten des Modems kam auch wieder eine ZoneAlarm-Meldung wie oben. |
Das SDfix log ist zu kurz und nicht vollständig. Das kann an Winpooch liegen, deaktivere es beim ausführen bitte! |
Zitat:
Das lief im abgesicherten Modus ohne irgendwelche Software im Hintergrund. Aber mir ist dann doch noch was aufgefallen: Wenn ich im abgesicherten Modus starte, dann bietet er mir zwei Konten an: meinen normalen und "Administrator". (Beim normalen Hochfahren bietet er den Admin nie an.) Bis jetzt habe ich dann immer "Administrator" gewählt, weswegen SDFix wohl auch so kurz angebunden war. Nun also das Ergebnis, wenn ich auch im abgesicherten meinen üblichen Account nehme: Code: SDFix: Version 1.191 Naja. Ich guck mal, ob ich bei einer der anderen Maßnahmen weiter oben erfolgreicher bin, wenn ich im abgesicherten Modus statt "Administrator" mal das normale Konto nehme. |
Also, Zitat:
Alle Einträge sind ohne Befund. Es ist ganz normal, das die svchost.exe ins Internet will. Solange diese nicht infiziert ist sollte sie das auch. Von Personal Firewalls halte ich eh nichts. Ich sehe, dass Du kein Antivierenprogramm installiert hast. Ich würde hier die Firewall gegen ein Antivierenlösung tauschen wollen und dann einen Systemscan vornehmen. Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich. http://img247.imageshack.us/img247/7...ombofixvs6.jpg Lösche die Drei Dateien Zitat:
|
Erstmal vielen Dank für deine ganze Hilfe soweit. Ein wenig Gewürm haben wir ja ganz zu Anfang erfolgreich erlegt und den restlichen Dreck habe ich inzwischen weggeräumt. Zufällig habe ich gerade eben auch eine sehr unerwartete Lösung für mein "Das System lahmt"-Problem gefunden. Weil ich jemandem ein neues System einrichten wollte, hab ich das c't-Update-Script für WinXP, von dem ich hier in eurem Programm gelesen hatte, erstmal an meinem eigenen Rechner ausprobiert. Der hat dann unter anderem das SP3 und ein paar andere Updates draufgezogen und siehe da... Alles läuft wieder fix. :) Manchmal kommt dir Lösung von der unerwartetsten Seite... Und jetzt löchere ich dich noch mit ein paar abschließenden Fragen. Wenn du Bock hast, sach was dazu, wenn nicht lass es. Vielen Dank nochmal, jedenfalls. Martin Warum soll ich ComboFix deinstallieren? Inwiefern wäre das nachteilig, das nicht zu tun? Wenn du gegen Desktop-Firewalls bist, was für eine Alternative empfiehlst du dem Einzelnutzer ohne Router? Bzw. welches Antivirenprogramm? Hast du zufällig eine Idee, wieso svchost ständig Verbindungen aus dem Internet haben will? Es funktioniert doch auch alles, wenn ich das verweigere. Deswegen hab ich das immer für eine 'Microsoft will Daten von mir haben'-Aktion gehalten. WinPooch ist ein openSource-Wächter, der Zugriffe auf die Registry, wichtige Prozesse etc. überwacht und im Zweifel anhält, um Malware schon im Angriff zu stoppen. Hier ist das gut beschrieben und verlinkt. Als verbreitetes openSource Programm halte ich das für per se vertrauenswürdig, und das Konzept der Angriffsverhinderung halte ich zumindest für ausprobierenswert sowie weniger aufwendig als ein ständiger Hintergrundvirenschutz. Kennst du zufällig ClamAV, als dazu passenden openSource Virenscanner (reiner Scan ohne aktives Wachprogramm im Hintergrund)? Was hältst du davon? |
Zitat:
Zitat:
Als Alternative zur PFW eines Drittherstellers ist die Windows-Firewall nicht zu verachten. Die macht sich nicht alle Nase lang bemerkbar um den Benutzer zu verunsichern :rolleyes: leistet aber ordentliche Dienste v.a. was das "Abschotten" der Windows-NT-Netzwerkdienste anbelangt. Eine weitere Alternative wäre das Beenden von unnötigen Diensten. Ich würde die Router-Lösung aber immer bevorzugen. Zitat:
Und Du fest der Meinung bist, M$ sammelt Daten von Dir, Du M$ also nicht mehr traust, solltest Du vllt mal Dein OS wechseln. Linux ist da sehr schön. :party: |
Combofix löscht mit dieser Option seinen "Arbeitsordner". Combofix ist nach 14 Tagen nicht mehr lauffähig. Musst Du es nach einer Weile erneut ausführen kann es hier zu Problemen kommen. Daher die "alte" Version deinstallieren und löschen. Wenn Du ohne Router im Internet bist, reicht die Windows Firewall aus. Die Problematik bei Personal Firewall liegt in Ihrem Ansatz (dazu müsste ich weiter ausholen, als es hier nötog ist). Nur soviel: Alle Anwendungen haben Fehler in Ihrem Code, hast Du nun 100 Codezeilen für ein OS (in Wahrheit sind es mehr) hast Du ca. 10 Potenzielle Fehler (müsste die Zahl noch mal nachschlagen, ist jetzt nur so aus dem Kopf), kommt nun eine Software hinzu hast Du 150 Codezeilen im Betriebszustand, also ca 15 Bugs die früher oder später auftauchen, dazu kommt dann noch die Interoperabilität der einzelnen Komponenten, die nicht in die Bugs eingerechnet ist, aber auch oft zu Problemen führt. Die XP Firewall hat zwar den gleichen Ansatz wie alle anderen Personal Firewall, sie vergrößert aber die Codebasis nicht weiter, da sie eh mit integriert ist. Sicherlicht hat man da nich so schöne bunte Meldungen, was der Rechner grad wieder so treiben soll, aber das ist zu verschmerzen. Infos zur svchost hier, ansonsten ist roots Erklärung schon korrekt. Werde mich Winpooch mal annehmen, allerdings habe ich mit Clam AV leider nur schlecht Erfahrungen sammeln können. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board