Probleme nach entfernen des Virus

Mr.Blade · 22.09.2009, 19:54

Hi!
Hab mir heute irgendwie einen Virus an Lang gezogen. Und zwar kam immer folgendes, wenn ich beispielsweise bekannte Diagnose Programme starten wollte, oder sogar msconfig

Zitat:

kernel_apc_pending_during_exit

Eine gewisse Datei "fayimiy.exe" oder so ähnlich hat auch meiner Meinung nach Probleme gemacht, sie lies sich jedoch über den TuneUp Autostart Mangager deaktivieren sowie löschen.
Jedoch war sie immer wieder beim nächsten Neustart in der Liste bei TuneUp enthalten. Somit hab ich die Datei kurzer Hand aus dem Systemverzeichniss entfernt, sie in TuneUp nochmals gelöscht.
Nächster Start > Wieder da, aber nur als Autostart Eintrag. Dannach hab ich den Registry-Cleaner durchlaufen lassen, und die Datei war dann endgültig verschwunden.

Hab den Virus jedoch per AviraAntiVir wegbekommen, und zusätzlich noch eine Systemwiederherstellung gemacht.

Zitat:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\Malte\AppData\Local\Mozilla\Firefox\Profi les\x3yy401g.default\Cache\5DA302AAd01
[FUND] Enthält Erkennungsmuster des Droppers DR/Delphi.Gen
C:\Users\Malte\AppData\Local\Temp\rsyncini.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\Users\Malte\AppData\Roaming\dupuukvvw6f7.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
C:\Windows\System32\dupuukvvw6f7.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
C:\Windows\System32\tdisp.sys
[FUND] Ist das Trojanische Pferd TR/Tibs.18432
C:\Windows\System32\xof.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen

Beginne mit der Desinfektion:
C:\Users\Malte\AppData\Local\Mozilla\Firefox\Profi les\x3yy401g.default\Cache\5DA302AAd01
[FUND] Enthält Erkennungsmuster des Droppers DR/Delphi.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4afa0ffd.qua' verschoben!
C:\Users\Malte\AppData\Local\Temp\rsyncini.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b32102c.qua' verschoben!
C:\Users\Malte\AppData\Roaming\dupuukvvw6f7.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b29102e.qua' verschoben!
C:\Windows\System32\dupuukvvw6f7.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48685197.qua' verschoben!
C:\Windows\System32\tdisp.sys
[FUND] Ist das Trojanische Pferd TR/Tibs.18432
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b22101d.qua' verschoben!
C:\Windows\System32\xof.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b1f1028.qua' verschoben!

Ende des Suchlaufs: Dienstag, 22. September 2009 19:56
Benötigte Zeit: 17:30 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

So, direkt nochmal die HiJack:

Zitat:

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\System32\nvcplui.exe
E:\Mozilla Firefox\firefox.exe
C:\Windows\system32\DllHost.exe
D:\HijackThis\HiJack.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\s wg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundTray] C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [NVIDIA nTune] "D:\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O13 - Gopher Prefix:
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshel...onGameHost.cab
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - D:\CDBurnerXP\NMSAccessU.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

Das Problem was ich habe
Manche Spiele stocken ohne Ende, beispielsweise Test Drive Unlimited, Flight Simulator X oder FIFA 2009 | 2010 Demo.
Andere wiederrum, wie Batman Arkham Asylum oder FlatOut 2 laufen flüssig wie immer.
Jedoch behaupte ich mal, dass eher ein großteile meiner Spiele plötzlich einfach "laggt", und das schon im Menü und in den Vorschau-Videos.

Woran könnte das liegen ?

Hoffe auf Hilfe, ist nämlich wirklich nervig

Danke schonmal an alle Beteiligten im Voraus

Grüße,
Malte

LowBob · 22.09.2009, 20:03

Könnte daran lieger das der Virus schlauer als gedacht ist und als festgestellt wurde das ihm ein File fehlt ein paar neue erstellt hat und jetzt Prozesse laufen die deinen Rechner ausbremsen. Ansonsten könnte durch die Entfernung jetzt eine Anwendung oder z.B. DirectX beschädigt sein wenn der Virus irgendwas entfernt hat und selber einen hook gesetzt hat mit dem er sich zwischen einer Ausführbaren *.exe File und einer *.dll gesetzt hatte.

Ist alles nur Spekulation aber an sowas "könnte" es liegen.

**Leonixx** · 22.09.2009, 20:14

Ein Systemwiederherstellung ist mit Sicherheit sinnlos, da sich der Trojaner dort eingenistet hat. Die Meldungen zeigen doch, dass der Virus dein Schutzsystem zum Teil blockiert. Ob Antivir den Trojaner entfernt hat, ist nicht gesagt. Könnte auch ein Fake sein. Mit Sicherheit wurden bereits Systemdateien verändert, deshalb hast du kein normal funktionierendes System. Das zu reparieren, wäre doch nicht sinnvoll.

Auf jeden Fall ist das Log von Hijackthis nicht ausreichend. Zu oberflächlich. Du hast kein BS angegeben. Sinnvoll ist es Combofix anzuwenden wie im Link in meiner Sig. Hast du aber Vista (was ich nicht hoffe) dann Logs mit RSIT erstellen. Poste die Logs hier, dann gibt es einen tieferen Einblick und man sieht, was sich noch auf deinem Rechner eingenistet hat.

Mr.Blade · 23.09.2009, 12:17

Vielen Dank erstmal für die Hilfe!

Sorry, wegen des Systems, hab ich vergessen zu notieren:
Windows 7 32-Bit Final

Weder XP noch Vista, würde aber mal behaupten auf Windows Vista basierend

inch:
Ich guck mal.

Grüße

Mr.Blade · 23.09.2009, 14:16

Weder ComboFix noch RSIT funktioniert unter Seven.
Hab mal OTL genommen

Das komische ist:
Es läuft ja alles total normal, nur halt manche Spiele stocken ohne Ende, und das noch nichtmal alle.

Naja, ich reinstalliere mal den Grafikkarten Treiber, könnte ja was bewirken.
Falls sich hier nichts ergeben sollte werde ich Windows noch drüber hauen.

Grüße

**Leonixx** · 23.09.2009, 16:51

Na ja, mit Win7 habe ich noch keinerlei Erfahrungswerte. Es gibt doch einige neue .dll Dateien. Was ich komisch finde ist Win32 Services (SafeList) Hier steht überall stopped hintendran. Schaue mal unter Win7 unter Dienste, ob diese Dienste gestoppt wurden. Vielleicht liegt es daran.

Die beiden Dateien sind auch merkwürdig. Würde ich mal bei Virustotal checken. Gerade die zweite Datei ist schon in Verbindung mit Viren bekannter.

C:\Windows\System32\cohelper.dll
C:\Windows\bootstat.dat

Aber wie gesagt, ist eher ein Schuss ins Blaue. Auf jeden Fall zeigt die Infizierung schon, dass Win7 RC anfällig ist. Wird also auch nicht besser als bei den früheren BS-Versionen von MS.

Mr.Blade · 23.09.2009, 17:10

Nochmals Danke!

Zitat:

C:\Windows\bootstat.dat

Datei bootstat.dat empfangen 2009.09.23 16:03:04 (UTC)
Status: Beendet

Ergebnis: 0/41 (0%)

Zitat:

C:\Windows\System32\cohelper.dll

Datei cohelper.dll empfangen 2009.09.23 16:07:55 (UTC)
Status: Beendet

Ergebnis: 0/41 (0%)

Hab in der Zwischenzeit auch nochmal Windows 7 reinstalliert sowie die Grafikkarten-Treiber.
Wie gesagt, manche Spiele stoppen unnormal komisch, andere laufen ganz normal. Im Windows-Betrieb merkt man keinen Unterschied.

Kann ich noch irgendwas machen, was euch auf die Sprünge hilft ?

Zitat:

Wird also auch nicht besser als bei den früheren BS-Versionen von MS.

Wie es aussieht nicht

Grüße