Trojaner-Board - Asus X64J (i5, Win7...) lahmt trotz Wiederherstellung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Asus X64J (i5, Win7...) lahmt trotz Wiederherstellung (https://www.trojaner-board.de/132943-asus-x64j-i5-win7-lahmt-trotz-wiederherstellung.html)

Asus X64J (i5, Win7...) lahmt trotz Wiederherstellung

Halli Hallo,

ich hab bereits im "Netzwerk und Hardware"-Forum geschrieben (http://www.trojaner-board.de/132531-...ml#post1032383), dass ich folgendes Problem hab: mein Laptop ist unheimlich langsam geworden. Beim Spielen, beim surfen ... Tja und nun wurde ich hierhin geschickt um das System mal auf Malware prüfen zu lassen.

:dankeschoen:

Vreno

Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Hatte dein Virenscanner jemals Funde gemeldet? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://www.trojaner-board.de/picture...&pictureid=307

Hey,

erstmal danke für die Antwort. Also bisher hat AntiVir mir keine Funde gemeldet. Welche Logs soll ich posten? bzw mit welchem Programm? :wtf:

Vreno

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Erstmal eine Kontrolle mit OTL bitte:

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Setze oben mittig den Haken bei Scanne alle Benutzer
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in CODE-Tags in den Thread.

Nabend,

so ich habe die Logfiles von OTL angehängt. Leider war das alles zu groß um es als Code-Tag zu senden..:schrei:

Grüße
Vreno

Rootkitscan mit GMER

Bitte lade dir

GMER herunter: (Dateiname zufällig)

Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?

Unbedingt auf "No" klicken.
Entferne rechts den Haken bei: IAT/EAT und Show All
Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
Starte den Scan mit "Scan".
Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

Probiere alternativ den abgesicherten Modus.
Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.

Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Huhu,

also Gmer hab ich durchgeführt. Als ich mbar starten wollte kam folgende Mitteilung (siehe Bild im Anhang).

War mir jetzt unsicher ob ich auf Ja oder Nein klicken soll!?

Grüße
Vreno

Da bitte auf nein klicken und normal weitermachen :kaffee:

Huhu,

es wurde absolut nichts gefunden! Also war auch kein Neustart erforderlich.

Code:

GMER 2.1.19163 - hxxp://www.gmer.net

Rootkit scan 2013-04-04 20:43:56

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 ST950032 rev.0003 465,76GB

Running: gmer_2.1.19163.exe; Driver: C:\Users\Vreni\AppData\Local\Temp\pwlyipoc.sys
 
 

---- User code sections - GMER 2.1 ----
 

.text  C:\Windows\SysWOW64\PnkBstrA.exe[1948] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 322                                                                0000000072cc1a22 2 bytes [CC, 72]

.text  C:\Windows\SysWOW64\PnkBstrA.exe[1948] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 496                                                                0000000072cc1ad0 2 bytes [CC, 72]

.text  C:\Windows\SysWOW64\PnkBstrA.exe[1948] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 552                                                                0000000072cc1b08 2 bytes [CC, 72]

.text  C:\Windows\SysWOW64\PnkBstrA.exe[1948] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 730                                                                0000000072cc1bba 2 bytes [CC, 72]

.text  C:\Windows\SysWOW64\PnkBstrA.exe[1948] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 762                                                                0000000072cc1bda 2 bytes [CC, 72]

?      C:\Windows\system32\mssprxy.dll [2256] entry point in ".rdata" section                                                                                 00000000708471e6

.text  C:\Program Files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE[2860] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69   0000000077781465 2 bytes [78, 77]

.text  C:\Program Files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE[2860] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  00000000777814bb 2 bytes [78, 77]

.text  ...                                                                                                                                                    * 2

.text  C:\Windows\AsScrPro.exe[4732] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                  0000000077781465 2 bytes [78, 77]

.text  C:\Windows\AsScrPro.exe[4732] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                 00000000777814bb 2 bytes [78, 77]

.text  ...                                                                                                                                                    * 2
 

---- EOF - GMER 2.1 ----

Code:

Malwarebytes Anti-Rootkit BETA 1.01.0.1022

www.malwarebytes.org
 

Database version: v2013.04.05.07
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Vreni :: VRENISLAPTOP [administrator]
 

05.04.2013 18:22:11

mbar-log-2013-04-05 (18-22-11).txt
 

Scan type: Quick scan

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P

Scan options disabled: 

Objects scanned: 27873

Time elapsed: 13 minute(s), 50 second(s)
 

Memory Processes Detected: 0

(No malicious items detected)
 

Memory Modules Detected: 0

(No malicious items detected)
 

Registry Keys Detected: 0

(No malicious items detected)
 

Registry Values Detected: 0

(No malicious items detected)
 

Registry Data Items Detected: 0

(No malicious items detected)
 

Folders Detected: 0

(No malicious items detected)
 

Files Detected: 0

(No malicious items detected)
 

(end)

Vreno

Ich würde erstmal versuchen rauszufinden, ob das nur unter Windows so ist, oder auch mit anderen Betriebssystemen.

So kann man sehen ob sich da ein Hardwareproblem abzeichnet oder der Fehler eher in der Konfig in Windows und/oder im Dateisystem ist.

Lad dir mal sowas wie Knoppix oder Xubuntu herunter, brenn die iso Datei per Imagebrennfunktion auf eine CD und boote den Rechner davon.
Teste dann mal ausgiebig das System unter Linux und berichte ob es dort normal läuft.