GMER meldet "hidden rootkit activity" & Rechner langsam
 

Hallo liebes Anti-Trojaner-Team,

nachdem ich gerade dabei bin, meinen PC neu aufzusetzen (Dank an Cosinus noch mal für die Hilfe!), habe ich nun auch evtl. Schwierigkeiten mit meinem Netbook. :( Er ist relativ langsam & der Mozilla hakt immer wieder kurz (CPU oft bei 80-90% & Arbeitsspeicher voll, hab aber auch nur 1 GB RAM), das Netbook lief aber von Anfang an langsamer.

Malwarebytes hat nichts gefunden, aber GMER meldete "hidden rootkit activity". Muss ich den Laptop nun auch neu aufsetzen? :(

Ich hab die Anleitung abgearbeitet, hier kommen die Logs:

Malwarebytes:

OTL:

OTL - Extras:

GMER:
Es wäre super, wenn sich jemand meines Problems annehmen könnte! :)
Vielen Dank im Voraus!
lg, me.

Hallo,

Was ist (war?) Laufwerk Q denn bei dir? Externe Festplatte?


Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hi Cosinus,

vielen Dank, dass Du Dich meines Problems annimmst! :dankeschoen:

Q: ist ein vorinstalliertes "Microsoft Office-Klick-und-Los 2010". Wenn ich das richtig verstanden habe, soll es damit schneller gehen & weniger Speicherplatz verbrauchen, die Office Vollversion (bisher ist nur Office 2010 Starter vorinstalliert) herunterzuladen bzw. zu aktivieren. Wenn es nach mir geht, könnte man das Q-Laufwerk aber gerne plätten, ich hab eh überlegt, das zu deinstallieren. :)

Ich hab das Malwarebytes Anti-Rootkit laufen lassen, ein Neustart war nicht erforderlich & es wurde wohl auch nichts gefunden.

Hier ist die Log-Datei:

lg, me.

Ok, dann bitte jetzt Logs mit aswMBR und TDSS-Killer erstellen:

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).




Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Hi Cosinus,

beim ersten Mal ist aswMBR mit Bluescreen abgestürzt (hatte alles nach Anleitung gemacht). Beim zweiten Mal hat es geklappt - er hat allerdings nicht noch einmal das Update angeboten, ich geh also davon aus, dass er das beim 1. Mal geladene Update benutzen konnte.

Hier das Logfile:

Dann hab ich TDSSKiller wie in der Anleitung beschrieben gestartet, hier das Logfile:

Kann man schon etwas erkennen? Q scheint gar nicht mehr gescannt zu werden - macht auf einem virtuellen Laufwerk (das scheint das ja zu sein) ein Rootkit (falls es denn eins ist) überhaupt Sinn? :confused:

lg, me.

Ist bislang alles recht unauffällig. Warum GMER da meint da wäre etwas versteckt weiß ich so noch nicht, aber das Laufwerk Q ist ja diese Office-Geschichte von MS....

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.

Hi Cosinus,

ja, das ist irgendwie der Nachteil beim vorinstallierten Windows, man findet auf einmal lauter Programme, die man nicht kennt (und oft auch nicht braucht) - wenn ich auf Q klicke, erhalte ich auch keinen Zugriff, das Laufwerk ist "geschützt". Ich hatte mich bisher aber nicht fit genug gefühlt, um Win einfach neu zu installieren, so dass hinterher wirklich alles funktioniert (siehe Hardware-Treiber etc.).

AdwCleaner lief ohne Probleme, musste aber 1x neu starten. Hatte schlauerweise erst "Suchen" gemacht und dann "Löschen" (wer lesen kann, ist klar im Vorteil :)), daher gibt's 2 Logfiles. :)

Suchen:
Löschen:
Dann kam OTL mit den beschriebenen Einstellungen dran. Hier das Logfile:

OTL.txt
Extras.txt
lg, me.

Vom Hersteller vorinstalliertes Windows ist ost mit irgendwelchen Beilagen versaut.
Aber dafür gibt es Abhilfe wenn du willst => http://www.trojaner-board.de/100776-...tml#post676887

Hi Cosinus,

vielen Dank für den Link mit der Anleitung! Ich denke, das werde ich auch machen (ISO-Download läuft schon), wahrscheinlich ist dann auch mein Netbook wieder schneller. Ich muss nur noch überprüfen, ob ich auch alle Treiber hab bzw. auf welche Hersteller-Tools ich besser verzichte (die stehen ja beim Treiber-Download mit dabei).

Muss man vor der Win7-Installation eigentlich ein BIOS-Update machen? Da mit dem BIOS soweit alles funktioniert hat bisher, würd ich eher drauf verzichten wollen (v.a. weil ich grad einen Eintrag gefunden habe, dass einer mit dem BIOS-Update seinen Chip geschrottet hat).

Ok, aber ansonsten ist das Netbook in Ordnung, oder? Ich wollte halt nur sichergehen, dass ich mir nicht die frische Vista-Installation auf dem PC gleich wieder versaue, indem ich ihn vom Netbook her aufrüste & auch gleich anstecke.

Vielen herzlichen Dank schon einmal für Deine geduldige Hilfe! :dankeschoen:

lg, me.

Nein wie kommst du darauf? Das ist nur in den seltensten Fällen notwendig zB wenn das alte BIOS nicht mit Win7 klarkommt, aber wie gesagt das sind eher Ausnahmen

Hi Cosinus!

Auf der ASUS-Treiberseite sind für mein Netbook-Modell auch ein BIOS-Update und & BIOS-Updatetool aufgeführt - und ich hab ja keine Ahnung, was ich dann hinterher alles brauche. :)

Ich find das eh ein bisschen konfus, am praktischsten fände ich eine Treiber-Export-Funktion aus der aktuellen Installation heraus - die jetzigen funktionieren ja alle!

Vielen Dank!

lg, me.

BIOS-Updates werden idR nur dann empohlen wenn man wirklich Probleme hat.
Und Laien wie Oma Lieschen ist das nun wirklich nicht gedacht, damit mal eben das BIOS neu zu flashen :balla:

Hi Cosinus,

danke für die Erläuterung! Ich hätte das BIOS jetzt auch nicht von alleine geupdatet, keine Sorge!
Mir fällt noch ein 2. Grund ein, warum ich gefragt hatte: In einer Asus Anleitung fürs Windows 7 Self-Upgrade (das war die einzige Asus Anleitung, die ich hinsichtlich der Treiber-Reihenfolge überhaupt gefunden habe) stand, bei einem Upgrade von Win XP zu Win 7 sollte man das BIOS via ASUS Update aktualisieren.

lg, me.

Was für ein Board von Asus genau hast du denn?

Hi Cosinus,

wenn ich das richtig herausgesucht hab, dann wohl Asus 1005PX (kommt das hin?).

lg, me.

Hab ich jetzt hier irgendwas nicht geschnallt? Du hattest doch die ganze Zeit Windows 7 drauf!!

:wtf: :confused:

Hi Cosinus,

sorry, ich glaub, ich kann mich grad irgendwie nicht verständlich ausdrücken. :stirn:

Ja, ich hab Win7 Starter. Ich hab auch die ganze Zeit auf der Asus Seite & sonstwo nach einer Anleitung gesucht, Win7 bei einem Asus Netbook neu aufzusetzen, sprich nach einer vernünftig funktionierenden Treiberreihenfolge (war zumindest bei dem Dell so, dass es da eine gab & das wichtig war - und ich bin jetzt nicht so fit, dass mir das von vornherein klar wäre, welche Reihenfolge sinnvoll ist).

Die einzige Anleitung bezüglich der Treiberreihenfolge, die ich finden konnte, bezog sich aber auf das Upgrade von XP auf Win7 - mein Gedanke war also: "Ok, den BIOS-Teil überspring ich mal lieber, aber der Rest (erst Chipsatz, dann SATA, dann VGA etc.) müsste ja generell stimmen." Daher also der Verweis auf diese Anleitung.

Da ich aber wg. der Treiber noch mehr Fragen hatte (weil es öfters 2 Treiber zur Auswahl gibt & der Hotkey-Treiber zu fehlen scheint :confused: ), hab ich denen mal eine Mail geschrieben. :)

lg, me.

Du machst aber kein Upgrade von XP zu Win7, sondern du installierst einfach nur Win7 neu - was soll denn da der Hinweis für eine Relevanz bitteschön haben?

Ja, so sollte es richtig sein. Möglichst zuerst den Chipsatz, danach die Reihenfolge ist nach meinen bisherigen Erfahrungen so ziemlich egal. :kaffee:

Hi Cosinus,

Wollte nur erklären, warum sich mir überhaupt die Frage gestellt hat, ob man das BIOS updaten sollte. Aber nichts für ungut, den Punkt haben wir ja geklärt. :)

Danke sehr! :) (Dann bin ich als Anfänger wohl auf den Hokuspokus reingefallen, den Dell & Asus um ihre Treiberreihenfolge machen.)

Tausend Dank noch einmal für Deine ausführliche Hilfe und Geduld mit meinen Anfängerfragen! :dankeschoen:

lg, me.

So, hab jetzt doch noch einen Scan mit ClamTK von dem PartedMagic Stick gemacht - lass mich raten, das BackUp des jetzigen (da funktionierenden) Systems kann ich mir sparen, oder? :eek:

Diese verschiedenen Win.Trojan.Expiro (plus Nummer), das sind doch nicht alles Fehlalarmmeldungen, oder? Ich hab die jetzt erstmal in die Qurantäne geschickt - wird die eigentlich gelöscht, sobald ich das PartedMagic herunterfahre? Das läuft ja schließlich nur im Arbeitsspeicher, wenn ich das richtig verstanden habe.

Hier die Funde aus der Log-Datei:

Ich frag mich nun, was passiert, wenn ich den neu aufgesetzten Vista-PC scanne (bei dem ich ja mithilfe des Netbooks & WSUS Offline Update die Updates & Programme aufgespielt habe). :confused:

lg, me.

Mhm, scheint doch false-positive zu sein. Ich hab die Dateien alle bei Virustotal hochgeladen und jedes Mal war das Ergebnis 1/45, sprich es hat immer nur ClamAV angeschlagen & bei den Kommentaren stand immer, dass das reguläre Win7-Systemdateien sind.

Und bis auf die beiden x86_microsoft...-Dateien (das eine scheint ein Wiederherstellungspunkt zu sein) haben die auch alle nur zwei verschiedene Änderungsdaten, die wohl das Installationsdatum des Netbooks sein dürften bzw. sogar noch früher (2010 bzw. 2009).

Okay, also dann würd ich die Dateien doch wieder aus der Quarantäne holen, ja?

lg, me.