Trojaner oder Virus auf PC ?

[Graumantel]

Moin PC-Cracks!

Ich habe folgendes Problem: Auf meinem Rechner sind seit kurzem zwei exe-Dateien im Windows Temp-Ordner, die mir suspekt sind.
Beide haben den Namen eines Microsoft-Dienstes (wuauclt.exe bzw. svchost.exe) und lassen sich nicht manuell entfernen.
Weder Spybot noch AntiVir erkennt sie als Bedrohung. Habe beide Programme sowohl im normalen Windows-Modus als auch im abgesicherten Modus durchlaufen lassen.
Aufmerksam geworden bin ich durch eine Meldung der Firewall Zonealarm, dass ein unbekanntes Programm (die wuauclt.exe) Zugriff auf das Internet will. Soweit ich weiß, ist die wuauclt.exe der Microsoft-Updater, den ich aber deaktivert habe (da ich von meinem Rechner sowieso nix runterladen könnte, wegen Schmalband-Internetzugang).
Der Taskmanager zeigt den Dienst wuauclt.exe zweimal an. Deaktviere ich den seltsamen (leicht zu erkennen, da er beim PC-Neustart verzögert startet) kann ich die entsprechende Datei im Temp-Verzeichnis löschen. Nach einem Neustart ist sie aber wieder vorhanden.
Das Internet spuckt die Info aus, dass wuauclt.exe ein Trojaner ist, wenn die Datei sich nicht im Windows-Systemverzeichnis befindet.

Hat jemand einen Tipp für mich, wie ich mit beiden Dateien umgehen soll

Ciao,
Markus

[$Micha$]

Mach mal ne Auswertung mit Hijack this und mach ne Online Auswertung.
Dann ggfs. den Eintrag fixen.

[Graumantel]

Mach mal ne Auswertung mit Hijack this und mach ne Online Auswertung.

Danke für den Tipp! Werde ich heute abend mal versuchen.

Viele Grüße,
Markus

[Graumantel]

@$Micha$
Hallo,
habe deinen Ratschlag befolgt und die erstellte Hijackthis Logfile Online überprüfen lassen.
Ich poste hier nur die von Hijackthis beanstandeten Prozesse:

Running processes:
C:\WINDOWS\TEMP\svchost.exe
C:\WINDOWS\TEMP\wuauclt.exe

verbunden mit dem Hinweis

Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen.
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.Prozess läuft nicht im System32 Ordner!

sowie

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D97B647-7F2F-4F2A-9D42-38591EDC4712}: NameServer = 85.255.116.55,85.255.112.136
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.55 85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.55 85.255.112.136

mit dem Hinweis

Kennen Sie die IP oder die Domäne '85.255.116.55,85.255.112.136' nicht, fixen.

Eine google-Suche führte zu einem Forum in dem gesagt wurde, dass die oben genannten IP-Adressen zu einem ukrainischen Server gehören und man, sofern man keinen ukrainischen Provider habe, doch zügig etwas Unternehmen sollte...
Habe daraufhin dem Ratschlag des Programms folgend die entsprechenden Einträge fixen lassen. Ergebnis:
a) Bei einem erneuten Scan tauchen keine O17er Einträge mehr auf.
b) Ins Internet kam ich aber auch nicht mehr.
c) Die Einträge im Temp-Ordner sind weiterhin vorhanden und die wuauclt.exe verlangt erneuten Zugriff auf das Internet.
d) Ein erneuter Scan mit AntiVir scheiterte, da der Rechner extrem langsam agierte
e) Der daraufhin erfolgte Versuch den Taskmanager aufzurufen schlug fehl; es wurde nur eine Fehlermeldung gezeigt, dass der Dienst nicht möglich sei...

Hast du noch irgendeinen Tipp für mich?
Irgendwie mache ich mich schon mit dem Gedanken an eine Neueinstallation vertraut…

Viele Grüße,
Markus

[Sirarokh]

Manchmal bieten die großen Antivirensoftwarehersteller kleine Remove-Tools an. Schau doch mal bei symantec.com oder so vorbei.
Oder lade dir eine Demo einer größeren Antivirensoftware herunter und lasse die laufen. Chip.de bietet normalerweise eine akzeptable Übersicht zu solchen Themen: G Data, F-Secure oder Symantec

[$Micha$]

Hört sich ja böse an

Also nach der Überprüfung mir Hijack und dem fixen der Einträge konnte
ich immer alles (wenn auch manchmal im Abgesicherten Modus) mit Spybot oder Antivir löschen.

Da es bei Dir nicht so zu sein scheint ist eine Neuinstallation wahrscheinlich wirklich das beste um das wegzubekommen.

Aber das sollte eigendlich der letzte Ausweg sein.

Frag doch mal im Forum von chip.de nach.
Das hat mir schon oft geholfen und ich musste nicht neu Installieren.

EDIT.
Sorry, aber lass alles was Symantec heisst weit weg vom Rechner

[AndiTimer]

http://housecall.trendmicro.com/

einfach mal ausprobieren, ist ganz gut und vor allem kostenlos. Alternative wären die 30 Tage Testversionen von diversen Virenscannern, da würde sich auch Gdata Antivir anbieten.

Ansonsten mal die Tools von Sysinternal (ProcessViewer) nehmen, damit man identifizieren kann, was so im Hintergrund läuft. Genauso mal mit deren Tools die Starteinträge der Registry anzeigen lassen, da kann man schnell was entfernen und den Rechner neu starten, danach ist der Virus oft nicht mehr aktiv und man kann sich ans aufräumen machen.

Gruß
Bo.

[Graumantel]

Danke für eure Hilfe! Werde die genannten Tipps mal abarbeiten und sehen, ob das Ergebnis positiv ausfällt.

Viele Grüße,
Markus

[sanus]

Hallo,

Ich möchte noch einen weiteren Denkansatz in die Runde werfen, auch wenn ich zugebenermaßen kein wirklich sehr guter Computerexperte bin, aber stieß ich mal weil ich auch mal so ein ähnliches Problem hatte auf das Thema "Rootkits" - also eine Art sehr ausgeklügelte Verbergungstechnik, denn Trojaner sind ja, entgegengesetzt der geläufigen Meinung, nicht die eigentlichen Schadensprogramme sondern nur das Programm das tarnen soll und oft das eigentliche Rootkit in sich trägt.
Sehr raffiniert programmierte Rootkits auf dem neuesten Stand können von keinem Anti-Virenprogramm entdeckt werden, warum und wieso und was Rootkits eigentlich sind, kann man in diesem Artikel nachlesen

Rootkits Teil 1 - Rootkit-Techniken

Rootkits Teil 2 - Rootkit-Techniken

Rootkits Teil 3 - Techniken um Rootkits aufzuspüren


Ich würde somit auch einmal das im letzten Teil empfohlene Programm "Blacklight" runterladen eines der anscheinend ersten Produkte zum aufspüren solcher Rootkits.
Muß natürlich sowieso nicht sein das du sowas auf dem Rechner hast, aber nach dem Ausschlußverfahren sollte man sicherheitshalber auch hier einen Systemcheck machen.

gruß
Thomas

[Graumantel]

Hallo!

Habe mein Schicksal (oder besser das meines PCs) vertrauensvoll in die Hände des chip.de-Forums gelegt.
Erste Reaktionen sind ernüchternd. Ein User geht von einem Befall mit einem Zlob-Trojaner aus und empfiehlt eine Neuinstallation. Ein deartiger Trojaner pfuscht im Betriebssystem herum und kann als Hintertür für weitere Spy-/Malware dienen. Sehr aufmunternd auch eine Meldung, die ich bei der Suche nach weiteren Infos zu Zlob gefunden habe: Dort wird die Geschichte eines Nutzers erzählt, dessen PC ohne sein Wissen von einem Zlob zu einem Server für extreme Po..o-Bilder mit strafrechtlichem Inhalt umfunktioniert wurde. Das Schadprogramm lud 12.000 Dateien auf den Desktop-PC. Vor Gericht kam der PC-Nutzer nur deshalb davon, weil nachgewiesen werden konnte, dass die Dateien auf seinem Rechner nie geöffnet worden waren...

Ich halte euch weiter auf dem laufenden...

Viele Grüße,
Markus

PS: Habe herausgefunden, woran folgendes hing:

d) Ein erneuter Scan mit AntiVir scheiterte, da der Rechner extrem langsam agierte
e) Der daraufhin erfolgte Versuch den Taskmanager aufzurufen schlug fehl; es wurde nur eine Fehlermeldung gezeigt, dass der Dienst nicht möglich sei...

Der wuauclt.exe-Prozess aus dem Temp Ordner lastet nun den PC zu 100 Prozent aus und frisst rasend schnell die PC-Ressourcen, bis nix mehr geht...