Bluescreen; Googlemeldung: automatisierte Nutzung meiner IP; 18 svchost.exe(n); No Device
 

Guten Tag Boardteam,

ich starte gleich mal kalt mit dem Hinweis, dass ich kein Profi bin, maximal Laie, User halt:

Infos:
1. Mein Win7 Pro,x 64 ist richtig lahm! Fährt recht lange hoch! So sind in der Regel 1,3 GB Arbeitsspeicher, bei angeschaltetem Rechner ohne Aktivität in Beschlag! Wenn ich Browser, Outlook, Sicherung externe Festplatte, etc. (ca. 2,1 GB) einschalte und wieder ausschalte verbleiben weiterhin ca. 1,7 GB in Gebrauch!

2. Der „Process Explorer“ zeigt mir, dass 18 svchost.exe(n) laufen! Hier (neuber.com) wurde berichtet, dass sich Viren dahinter verbergen können. Außerdem kann der Prozess Explorer nicht wiedergeben, was vereinzelte Dateien tun, bzw. wo sie sich befinden, Meldung: "Error opening prozess".

3. Der Taskmanager zeigt:
a. 74 Prozesse ausgeführt
b. ca. 80 sind inaktiv.

4. Ich bekomme regelmäßig die Meldung Bluescreen und dass der Rechner nach nicht ordnungsgemäßem Runterfahren wieder starten muss, obwohl ich beim Runterfahren keine Probleme bemerkt habe. Beim Hochfahren werde ich gefragt (Bios) ob ich im abgesichterten Modus starten will. Tue ich nicht, funktioniert (bisher) auch so.

5. Ich habe nur eine Datensicherung (externe FP) erstellt. Würde das System im Ernstfall wieder neu aufsetzen.

6. Meine Festplatte hat 2 Partitionen.

7. Es sind 4 Benutzerkonten angelegt. Das „Admikonto“ ist daktivert.

8. Beim Hochfahren zeigt mir das Bios folgende Meldung: „Scan Divice“ Ergebnis: „No Device“. Hab nix im Netz gefunden, was mein Bios da macht.

9. Ich hole mir mit Outlook Daten über ein imap-Konto eines Vereins von einem MailSammelKonto ab. Die Betreiber hatten vor ca. 7 Monaten einen Hackerangriff. Die Komplette Homepage des gemeinnützigen Vereins ist ging krachen (war nicht mehr verfügbar, etc.).

Systeminfo:
Betriebssystemname Microsoft Windows 7 Professional
Version 6.1.7601 Service Pack 1 Build 7601
Zusätzliche Betriebssystembeschreibung Nicht verfügbar
Betriebssystemhersteller Microsoft Corporation
Systemname ****
Systemhersteller System manufacturer
Systemmodell System Product Name
Systemtyp x64-basierter PC
Prozessor AMD Phenom(tm) II X4 955 Processor, 3200 MHz, 4 Kern(e), 4 logische(r) Prozessor(en)
BIOS-Version/-Datum American Megatrends Inc. 1601, 08.09.2010
SMBIOS-Version 2.5
Windows-Verzeichnis C:\Windows
Systemverzeichnis C:\Windows\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "6.1.7601.17514"
Benutzername ****
Zeitzone Mitteleuropäische Zeit
Installierter physikalischer Speicher (RAM) 4,00 GB
Gesamter realer Speicher 4,00 GB
Verfügbarer realer Speicher 2,42 GB
Gesamter virtueller Speicher 8,00 GB
Verfügbarer virtueller Speicher 5,89 GB
Größe der Auslagerungsdatei 4,00 GB
Auslagerungsdatei C:\pagefile.sys

Hardware:
Mainboard: Asus: M4A88TD-V Series
Arbeitsspeicher: 4GB, mehr weiß ich nicht
Grafikkarte: NVIDIA GeForce GTX 460

Automatischer Neustart ist deaktiviert.

Fragen:

a) Ist es möglich, dass ein Programm oder ein Externes System, Virus über meinen Router (Routereinstellungen) auf meinen PC zugreift oder wenn ein externer Dritter die Zugangsdaten dafür knackt an meine Daten auf dem PC ran kommt oder meine IP für sich nutzt? Ich habe einen Alice-„router“ (Modell: 1121) jetzt O2. Die sich daraus ergebende Konsequenz, wenn dem so wäre, wäre den Router zurücksetzen zu lassen (oder es selbst zu tun). Macht das Sinn? Und wenn, dann vor einem gegebenenfalls neu Aufsetzen?

b) Außerdem bekam ich vor kurzem beim Öffnen von Google ein Infofenster zu diesem Link: Ich musst Zeichen eingeben, die ein automatisiertes Programm nicht erkennt (mir fehlt der Fachbegriff) um deutlich zu machen, dass ich es bin und kein Programm meine IP nutzt. Das „Problem“ könnte aber auch mein Laptop verursacht haben. Mit diesem war ich im Netz (WLan), als der Fest-PC (Kabel) aus war… Der Laptop müsste dann auch geprüft werden?!

c) GData ist vor Kurzem abgelaufen, ich werde künftig mit „Microsoft Security Essentials“ arbeiten. Sollte ich das vor eurer Hilfe tun oder kann ich das nachher runterladen und installieren?

d) Muss ich während ihr prüft mit dem Adminkonto arbeiten?

e) Kann der Bluescreen auch von meiner DLink-WLan-Karte verursacht werden? Quelle. Hinweis: Ich benutze sie nicht, könnte also ausgebaut werden.

f) Meine Daten (Sicherung) liegen auf einer externen Festplatte. Können wir die gleich mitprüfen? Nicht dass sich ein Bösewicht auf der Externen ausruht und danach wieder Unheil stiftet.

Da ich nicht weiß, was Symptom und was Ursache ist, hoffe ich mein Thema an richtiger Stelle eröffnet zu haben. Würde mich sehr freuen, wenn ihr euch meiner annehmt. Bitte teilt mir den nächsten Schritt mit.
Vielen Dank im Voraus und
beste Grüße der Skeptiker3

Es ist gut denkbar, dass das Problem keine Malware ist aber wir können das testen.

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.


Gelesen und verstanden?


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)

Laufwerksemulationen abschalten mit Defogger

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop und starte es:

• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully ... Continue?" bestätige dies mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Poste bitte die defogger_disable.txt von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.

Schritt 2:
Scan mit aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Schritt 3:
Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke auf Change parameters, setze einen Haken bei Detect TDLFS file system und bestätige mit OK.
• Drücke Start Scan
• Warnung:
  Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread (bitte dringend in CODE-Tags mit dem #-Symbol im Editor).

Schritt 4:
Scan mit DDS+ (mit attach)

Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com

• Schließe alle laufenden Programme und starte DDS mit Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Stelle folgendes ein:
  
  [X] dds.txt
  [X] attach.txt
  [ ] options for dds.txt
  
  
• Ändere keine Einstellung ohne Anweisung.
• Klicke auf Start.
• Es werden 2 Logfiles auf deinem Desktop erstellt.
  • dds.txt
  • attach.txt
• Poste die beiden Logfile hier, möglichst in CODE-Tags.

Hallo Ryder,

vielen Dank nochmal, ich bin gespannt.

Folgende erste Ergebnisse:

1) Defogger erstellt keine txt, nur eine log:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 08:38 on 21/03/2013 (Moi2)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

2) aswMBR.exe:

Bricht die Prüfung ab!
Neu gestartet mit AV scan: (none). Läuft jetzt.

Gruß Skeptiker3

Hallo Ryder,

die Files sind alle erstellt.

Aber, ich bin etwas verwirrt. Soll ich nun zu jedem Schritt die Inhalte der Logfiles in diesen Thread posten? Oder sind Dir die log-files zu schicken? Mach meinen Rechner und mich komplett nackt..., fühlt sich irgendwie komisch an :confused:

Solltest Du heute bis 18.00 Uhr nicht mehr zu einer Antwort kommen, werde ich Dir erst Sonntag wieder antworten können.

Beste Grüße
Skeptiker3

Ja alle Logfiles hier posten. Ansonsten sehe ich sie wohl nicht, oder? :)

Da bin ich wieder:

zu 2) aswMBR.exe:

3) TDSSKiller:

4)1) dds:
DDS Logfile:
DDS Logfile:
DDS Logfile:
DDS Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---


4)2) attach:
UserName & ComputerName korrigiert = #
Die Spannung steigt. Gruß

Hm ich bin ganz entspannt :)


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Windows-Defender abschalten

Da du einen anderen Virenscanner benutzt solltest du dringend den windowseigenen Scanner abschalten:

• Gehe in die Systemsteuerung und klicke auf Windows Defender.
• Klicke Extras > Optionen.
• Administratoroptionen > Haken entfernen bei Windows Defender verwenden.
• Bestätige und schliesse alle offenen Fenster.

Schritt 2:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo Ryder,
wie ich bereits schrieb, bin ich erst Sonntag, also heute wieder am Rechner und werde nun mit Deinen Angaben fortfahren!
Grüße
Skeptiker3

Hallo Ryder,

Combo ist durch, V-Scanner und Defender waren aus, ca. 35 min.:

Was sagt Dein geschultes Auge dazu :confused: Ich versteh nur Bahnhof...
VG Skeptiker3

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Es ist ja noch Sonntag, der Dienstag macht es aber natürlich auch! :D

Mbam:
ESET:
Checkup:
Weil kostenlos, will ich mit Microsoft Defender und Security Essentials arbeiten (GData also weg). Es sei denn Du hast einen genau so kostengünstigen, aber besseren Vorschlag...

Da war noch was: Nachdem ich Deine erste Mail abgearbeitet hatte, war Mozilla "plötzlich" nicht mehr als Standardbrowser eingestellt.

Haben wir es geschafft? Die Programme kann ich wieder löschen?

Beste Grüße
Skeptiker3

Ja kannst du ... also statt MSE und Defender nimm dann lieber Avast - siehe unten.

Prima! :daumenhoc

Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich.

Schritt 1:
Tools deinstallieren

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: jetzt auf re-enable klicken.
2. Falls Combofix benutzt wurde: Windowstaste + R > Combofix /Uninstall (eingeben) > OK (Alternativ in uninstall.exe umbenennen und starten)
3. Downloade Dir bitte auf jeden Fall delfix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Schritt 2:
ESET deinstallieren (Optional)

Ich empfehle dir dein System einmal pro Woche mit ESET zu scannen. Möchtest du ESET aber entfernen:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.

Code:

---

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

---

Schritt 3:
Installiere Avast.

Lade dir den Scanner und installiere ihn nach dieser Anleitung.

Abschließend noch Tipps zu folgenden Themen:

• Systemupdates
• Softwareupdates
• Sicherheitssoftware
• Sicheres Surfen

Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc

... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Hallo Ryder,

das ist ja schon sehr gut :taenzer:

Defogger:
Windows fragt mich bei anklicken der Re-enable-Datei (über das Ausführenfenster gefunden) allerdings danach, mit welchem Programm ich die Datei öffnen will. Es handelt sich um eine Datei ohne Namen (ohne Kürzel am Ende) mit 0 Byte... Kann also ab Schritt 1 nicht ausführen :dummguck:

Schöne Montagsgrüße
Skeptiker3

Starte Defogger und DORT reenable.

Guten Abend Ryder,

zunächst vielen Dank. :applaus:

Kannst Du mir noch sagen, ob nun irgendeine Malware oder was anderes auf meinem PC heimisch war? Ich frage, weil noch ein Laptop wartet. Den würd ich jetzt in die Pipeline schieben...

Ich habe AVAST ausgeführt, alle kritischen Softwaren aktualisiert und danach über eure Webseite Adobe-Reader geprüft. "Euer Webseitenlink" hat ein aktuelleres Adobe installiert, obwohl AVAST sein "Okay" zur Aktualität gegeben hatte? Ich fand wärhend des Installationsvorganges sah die Grafik etwas komisch aus :(

Eins hab ich noch. Der Problemberichterstattungsdienst (Windows) funktioniert nicht: "Problem beim Herstellen einer Verbindung mit dem Windows-Fehlerberichterstattungsdienst." Eine Idee woaran das liegt?

Beste Grüße
Skeptiker3

Hm nein, aber das ist auch kein wirklich wichtiges System.

Hab bitte Verständnis, dass wir eine individuelle Erklärung was du so hattest nicht geben können.

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/