Pc friert ein - Trojaner oder Hardware?

N

nonpretium

0
(Falls es in der falschen Rubrik steht, bitte verschieben, war mir nicht ganz sicher.)

Hey,

seit 36 Stunden friert mein PC sehr oft unkontrolliert ein. Darunter verstehe ich dass der Desktop nicht mehr reagiert, kein Transistor mehr knackt und auch die NUM LED auf dem Keyboard nicht mehr ein- oder ausschaltbar ist.

Hier eine kurze vielleicht relevante Vorgeschichte:
- bisher gesurft mit Win Firewall + MC Afee Security Center
- danach leider Lizens für MC Afee ausgelaufen
- 8 Tage ohne Virenscanner und nur mit Win Firewall gesurft
- nach diesen 8 Tagen MC Afee deinstalliert, AVAST Antivirenprogramm installiert. Durchlauf dauerte 6 Stunden, kein Fund.
- nach 2 Tagen stürzt friert Rechner das erste mal um 4 Uhr morgens ein
- AVAST Antivirenprogramm wurde deinstalliert
- Kasperskype Internet Security Center dagegen installiert, ein Durchlauf dauert über fünf Stunden und ist bisher noch nicht gelungen, da PC eingefroren.

Das Einfrieren ist:
- unkontrolliert
- bei verschiedenen Anwendungen
- bisher nicht im abgesicherten Modus aufgetreten
- unabhängig vom Diagnosestart.

Außerdem folgende Veränderungen:
- Bootvorgang dauert sehr lang, exakt 2 Minuten
- MS CONFIG lässt sich nur im abgesicherten Modus verändern, im normalen treten Zugriffsfehlermeldungen auf, obwohl ich Admin bin.

Bisher wurde folgendes unternommen:
- MS Config Diagnose Start - immernoch Abstürze und 2 min Boottime
- Tune Up Disc Doctor, fand mehrere Fehler auf meiner C Windows und Programme Partion die ich von der Software behob, dies dauerte einige Stunden, ist jetzt fehlerfrei
- Komplette Virenüberprüfung mit Onlinekaspersky, dauerte 46 min, keine Funde.

Was kann ich noch unternehmen?

Für mich klingt das bis hier hin sehr nach einen Trojaner? Das Problem ist dass ich es noch nie geschafft habe einen vollständigen Virenscann durchzuführen da dies so unglaublich lange dauert. Ich bräuchte einen Virenscanner der im abgesicherten Modus scannt, gibt es sowas?
Eine andere Überlegung ist Ubuntu auf den extra freigelassenen HD Speicherplatz zu installieren, kann ich mit einen Linux Virenscanner auch Windows Viren auf einem NTFS System aufspühren und löschen? Ich glaub letzteres geht wegen den Dateisystem nicht oder? *nicht sicher bin*

Habt ihr noch eine Idee was ich tun kann um den Fehler aufzuspühren?
Ein paar Angaben und Bemerkungen zum System:
Windows XP Home SP2 mit aktuellen Updates
ASROCK ALIVE SATAII Glan mit teils defekter 7.1 Soundkarte (Mic geht nich mehr)
AMD X2 64 mit 2x 2,6 Ghz also insg. 5800 Mhz, die CPU wurde schon 2x vom Sockel genommen, anscheinend ohne Probleme.
500 GB Sata II Seagate Festplatte - quitscht öffters aus heiteren Himmel, wie als würde der Lesekopf auf der Disk schlittern, war schonmal bei der Reparatur bei Seagate, seitdem neben den Quitschen keine Probs.
120 GB Western Digital Festplatte, mehr als 5 Jahre alt.
2000 MB DDR 800 RAM
NVidea Geforce 7600 GT

Mein Logfile:
Code: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:52, on 18.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\tools\security\kaspersky\avp.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Treiber\maus\lwbwheel.exe
C:\Programme\tools\Desktoptools\glass2k\Glass2k.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Treiber\Wlan\RALINK\Common\RaUI.exe
C:\Programme\tools\Desktoptools\Rainlendar\Rainlendar.exe
C:\Programme\tools\Desktoptools\ObjectDock\ObjectDock.exe
C:\Programme\tools\security\kaspersky\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\tools\security\kaspersky\avp.exe
C:\Programme\tools\security\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\Office\flashfxp\IEFlash.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [AVP] "C:\Programme\tools\security\kaspersky\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Treiber\maus\lwbwheel.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [Glass2k] C:\Programme\tools\Desktoptools\glass2k\Glass2k.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\tools\Desktoptools\Rainlendar\Rainlendar.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\tools\Desktoptools\ObjectDock\ObjectDock.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Treiber\Wlan\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Add to Anti-Banner - C:\Programme\tools\security\kaspersky\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\OfficeXP\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\Office\Office07\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\tools\security\kaspersky\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\Office07\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internetsoftware\Messenger\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internetsoftware\Messenger\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Internetsoftware\Messenger\icq6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Internetsoftware\Messenger\icq6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: wbsys.dll,C:\PROGRA~1\tools\security\KASPER~1\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\tools\security\kaspersky\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 5622 bytes
 
also das logfile sieht soweit gut aus. was sagt denn die ereignisanzeige? das wäre so der nächste punkt den ich mal überprüfen würde
 
hallo nonpretium,
also ich hatte mal ähnliche probleme... bei mir hat sich dann rausgestellt das der speicher in manchen addressbereichen defekt war kannst ja mal ein speichertest durchlaufen lassen (memtest 86 oder so ähnlich heißt ein gutes programm) musste auf eine cd brennen und dann den pc von dieser cd starten lassen.

auserdem war im gleichen zuge auch meine hd in arsch gegangen. permanente hard disk read errors.

Mein System hatte in regelmäßigen abständen Bluescreens und ist eingefroren. Nach einiger Zeit war mein Windows so im arsch durch die ganzen abstürze das ich es kaum noch starten konnte ohne das ich einen Bluescreen bekommen habe.

Die Teile habe ich auf Garantie eingesendet und neue bekommen nun funzt wieder alles... Aber will nicht ausschließen das du dir vllt was eingefangen hast (virus, trojaner...)

lg benni
 
@IsNull

c't bietet keine Knoppicillin mit Anti Virus im Internet an, das heisst der Virenscanner muss nachträglich eingebaut werdne und das kann nicht jeder.
 
Guck doch mal mit netstat -n,ob kurz vor irgendwelchen Zwischenfällen,irgendeine verdächtige Verbindungen bestehen.Wenn du bei einer Verbindung nicht sicher bist,gibst du den Port einfach mal bei google ein.Viele Trojaner benutzen einen Standartport und kaum einer ändert ihn,weil diese ganze Script-Kiddies nicht einmal wissen was ein Port ist.

Im übrigen sollte eingendlich jeder Virenscanner im abgesichertem Modus laufen.Soweit ich weiß sollte man ihn da doch auch laufen lassen,weil sich viele schädliche Software im abgesichertem Modus nicht startet und sie so leichter zu entfernen ist.
 
Hey,

erstmal vielen Dank für all eure Antworten. Leider kann ich nichts positives berichten. In der Computerverwaltung hab ich mal geschaut nach Einträgen die immer kurz vor den Einfrieren geschrieben wurden, aber leider hilft mir keiner davon weiter, evtl wurde es auch nicht gespeichert?

Das mit Netstat habe ich natürlich auch probiert, das Problem ist nur dass er die Liste nicht laufend aktualisiert sondern ich das selbst machen muss. Und da ich ja nie vorher weiß wann er mal abstürzen wird kann ich das schlecht prüfen :/.
Hmh.
Ich hab einen RAM Modul mal rausgenommen um zu gucken ob der defekt ist, und die selbe Vorgehensweiße mit den anderen auch gemacht (hab 2 bei mir drin). Leider trat bei beiden Varianten immernoch das Problem auf, ich denke den RAM kann ich ausschließen.

Ich habe versucht mit dem Online Virenscanner von Bitdefender mein PC zu checken, insgesamt 3 mal. Nie ist er fertig geworden. Er bricht immer an unterschiedlichen Stellen ab, also friert wieder ein. Aber er ist oft bis fast zum Ende gekommen, er findet keinen Infizierung =(.

Weiß jemand ob Antivir im abgesicherten Modus läuft? Bisher scheint nämlich der abgesicherte Modus wirklich sicher zu sein. Kennt jemand ein Programm womit ich da den PC trotz des abgesicherten Modi mal richtig auslasten kann, um sicher zu gehen dass er wirklich im abgesicherten Modus einwandfrei funzt? Oder hat sonst noch wer Ideen? Einen Systemwiederherstellungspunkt habe ich übrigens nicht mehr =(.
 
und vergiss bitte deutsche noname produkte...
also wenn jemand nicht völlig hinterm mond lebt hat er trojans die so primitive avs wie avira locker brechen..
gute avs kosten nich umsonst geld....
 
@EL
Bisher wurde AntiVir aber meistens gelobt, und das Software (jetzt nicht nur auf AntiVir bezogen) das Geld kostet zwingend besser ist als Freeware das stimmt ja hundertprozentig nicht.
 
Ja Antivir hat auch nix erkannt, aber dafür hab ichs doch nochmal mit Kaspersky probiert obwohl da ein paar Fehlermeldungen kamen und es sich im abgesicherten Modus etwas anders bedienen lässt und einiges nicht geht, hat er nach ca 7 Stunden Prüfung tatsächlich 3 Trojaner gefunden, leider alle in meinem Thunderbird in dessen Profil ich seit mehr als 3 Jahren alle meine Emails und Emailkonten archiviere. Juhu =(.
Kann doch den Trojaner nicht löschen, dann geht ein Emailprogramm nicht mehr =( und alle Emails sind weg.

Weiß wer obs ne Möglichkeit gibt alle Emails auf einen Klick in eine seperate Datei zu exportieren, ebenso die Kontaktliste und die Konten? :(.
 
Antivir ist in der Tat leicht umgehbar:

Wenn der eigentliche Schadcode gut versteckt, d.h. verschlüsselt in einer Exe vorhanden ist, geht es ziemlich simpel:
- "Harmlose" Exe killt die 2 antivir Prozesse (Dieser Schritt ist möglich, da sich die Antivir Prozesse einfach abschiessen lassen)
- Entpackt den Schadcode
- setzt ungestört ein Rootkit
- Fertig.

Es ist allgemein leider immer noch so, dass selbst geschriebene "Malware"(wenn man etwas Ahnung hat) von den Antiviren Tools nicht erkannt wird/ oder diese leicht umgangen werden können.

so far
IsNull
 
Hab rausgefunden dass der PC nicht vollständig einfriert. GIFs bewegen sich noch. Hatte zufällig eine Internetseite offen als er abstürzte und da haben sich die GIFS noch Stunden weiterbewegt, aber alle Eingabegeräte und Programme funzen halt nich mehr. Hmh.
 
@isnull

unter welchen bedingungen ist denn das möglich? in meinem sytem bin ich vorzugsweise mit user-rechten unterwegs. aber sämtliche zugriffe o.ä. müssten doch scheitern, da ich user bin und antivir mit systemrechten läuft.
 
@zero-9

also da hast du recht bist aufjedenfall sicherer als user aber die meisten Nutzer (vorallem die, die wenig ahnung haben) gehen mit Adminrechten an ihren PC und dann hat der Trojaner freien lauft...

ich persönlich bin auch oft als admin angemeldet weil wenn ich dies und das machen will und mich als ummelden muss mit den "ausführen als" das nervt schonmal...


@topic

vllt solltest du einfach mal deine daten sichern die wichtig sind und deine festplatte formatieren... und windows neu aufsetzen... wenns dann immer noch probleme gibt dann wirds wohl doch ein hardware defekt sein... ;)
 
@zero-9:

Ja, das ganze habe ich in der Tat als Admin gemacht. (Fast alle Windoze Benutzer arbeiten dahingehend als Admin...) Als User fährst du natürlich um einiges sicherer, dafür gestaltet sich der normale Windows-Alltag sehr umständlich.


@nonpretium:

Du könntest mal mit einem LiveSystem arbeiten. Wenn es dann immernoch zu freezes kommt, weist du immerhin, dass deine Hardware Schuld ist.

Gruss
IsNull
 
Huhu,

habe mir in den letzten Stunden die folgenden Programme runtergeladen: Ad-Aware 2007, AVG-Anti Spyware, Spybot - Search n Destroy. Der Durchlauf der Programme hat zwar ne Menge Cookies gefunden die nicht sein sollten und so, aber leider nix gefährliches :/. Schade.
Nachwievor funzt der Abgesicherte Modus ohne Probleme.

Eine Speicherprüfung mit dem Programm Memtest68 v.1.65, welches man übrigens auch auf der Kubuntu 6.06 (64) DVD findet hab ich dann meinen Speicher nochmal richtig lang überprüft, aber keine Fehler gefunden. Ich schlussfolgere daraus dass meine Hardware in Ordnung ist. Nur was kann man noch tun wenn Hardware ok ist, an den Treibern nix verändert wurde, die Virenscanner keine Infizierungen finden und der Rechner trotzdem noch abstürzt? oO. ?(
*ratlos bin*.
Er stürzt ja nicht nur ab sondern verweigert mir immernoch den Zugriff auf MSCONFIG... :/ Wie schonmal oben erwähnt kann ich keine Änderungen vornehmen, kommt immer der Fehler das ich keine Adminrechte hätte, obwohl ich Admin bin. (msconfig funzt nur im abgesicherten Modus).

Ist die Windows XP CD, mit einem Reparaturdurchlauf die einzige Möglichkeit die mir noch bleibt? =(.
 
also ich würde das system neu aufsetzen weil:

- wenn du wirklich einen schädling drauf hast, weißt du einfach nicht, was der noch so nachgeladen hat
- ist es wirklich nur ein treiberproblem, dann wirst du da jetzt viel rumbasteln und ob das system dann noch wirklich stabil wird, mag ich fast bezweifeln bei den ganzen problemen.
- die zeit, die du jetzt schon versuchst, das zu lösen hättest du genauso auch für eine neuinstallation nutzen können und wärst jetzt mit einem frischen und stabilen system da ;)


bei dem berechtigten verdacht auf schädlinge würde ich eigentlich nie etwas anderes außer neuinstallation in betracht ziehen (nur so ein tip)
 
Auch kommerzielle AVs haben ihre Schwächen:
http://students.sabanciuniv.edu/~canyildizli/HowToBypassKaspersky.pdf
z.B Kaspersky-umgehe-code
Code: 
setLocaleTime(gaaanz weit zurück);
und schon ist die Lizenz nicht gültig und es wird gar nichts mehr geprüft bzw die Zusatzfeatures sind aus. Nun kann man ein Rootkit installieren und danach wieder das Datum zurückstellen.
Ob der Bug jetzt gefixt ist, kann ich nicht sagen, aber Adminrechte braucht man dafür normalerweise nicht.
Eine weitere Methode wäre per cacls alle Zugriffsrechte auf "StandardPFW/AV Pfade" zu nullen - spätestens nach dem Neustart sind die Programme nicht mehr verfügbar.

Zum Topic: alternative zu MSCONFIG wäre Autoruns
 
Schon krass, da fragt man sich warum es eigentlich noch Virenscanner gibt :/.
Joa, naja ich konnte meine BOOT Einträge ja dann trotzdem im abgesicherten Modus ändern, is ja nich das Problem. Aber ich fürchte mich immer davor Windows neu aufzusetzen, allein schon weil ich die ganzen Pfade für eigene Dateien geändert hab, die sind bei mir z.B. eigene Partitionen usw. Und gestylt hab ich hier auf meinen XP Desktop auch viel, dann die Treiber und Programme, die ganze Verzeichnisstruktur. Naja, wenn das einmal gemacht ist sollte es schon nen paar Jahre halten. Schade dass ich alles wieder einreisen muss.

Mal so als Zwischenfrage, den abgesicherten Modus kann man doch durch einen Windows Diagnosestart simulieren oder? Also wenn absolut alles beim bootvorgang ausgelassen wird außer halt das absolut grundlegendste (anklickbar bei msconfig).

Ich werd aber heut trotzdem noch Kubuntu installieren, hatte ich eh schon länger vor, hat Kubuntu nen Virenscanner gleich mit dabei, kann der auch Windowspartitionen überprüfen? Wenn ja, wie heißt das Programm dass ich dann starten müsste oder muss ich dafür in der Console zwingend einen Befehl ausführen? (*noch nie mit Linux nach Viren gescannt hab*). Sorry für doofen Fragen ...
 
nonpretium:
Also erstens gibt es für Linux Systeme keine Viren Scanner bez. die Virenscanner für Linux scannen alle nach Windows Viren.

Hier mal ein kleiner Bericht von Heise:
http://www.heise.de/security/artikel/39978/


Ansonsten kannst du mal mit dem Antivir 4 Linux scannen:

http://www.free-av.de/


@CDW
omg, irgendwie sind Virenscanner totale Resourcenverschwendung :rolleyes:

so far
IsNull

EDIT:
Habe mich da mal ein bisschen umgeschaut, und z.B. dies gefunden:
http://students.sabanciuniv.edu/~canyildizli/UD_methods1.pdf

Ich verstehe bei diesem Tut nicht, wie das ganze überhaupt funktionieren kann. Wäre nett, wenn mir das einer etwas näher erklähren kann. Der Mal-Code wird ja in keinster Wiese angefasst, lediglich der Entrypoint wird modifiziert?
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben