ComputerBase Menü
Aktuelles

Virus eingefangen

Lord Alien

Lord Alien

Lt. Junior Grade
Registriert
Apr. 2007
Beiträge
258
Hallo ComputerBasler,

ich habe hier ein Problem mit einem Rechner und zwar scheint hier ein Virus im Gange zu sein.

Der Computer verhält sich so:

1.) ohne Netzwerkverbindung (d.h. auch ohne Internet)

100% CPU-Auslastung verursacht durch einen svchost.exe
svchost.exe ist bereits 4 mal gestartet (hatte immer gedacht das nur 2 normal sind?)

2.) mit Netzwerkverbindung und Internetverbindung

es werden unmengen an Prozessen gestartet, welche dann wiederrum Verbindungen ins Internet öffnen
diese Prozesse sind kopien von zB svchost.exe oder auch von andere Programmen

Hier mal die Log-Datei von Hijackthis:
Code: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:56:07, on 22.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\System32\TSIRCSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\programme\printkey.exe
C:\WinDfu\DFUSERV.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\IWatch.exe
D:\PROGRA~1\APOTEC~1\ApoOffice\apocom.exe
d:\programme\apotechnik\apodafue\Apodafue.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\msupdt.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Printkey] c:\programme\printkey.exe
O4 - HKLM\..\Run: [Dafue-Server] C:\WinDfu\DFUSERV.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [rundll32.exe]  (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [rundll32.exe]  (User 'Default user')
O4 - Startup: Verknüpfung mit ApoTerminal.lnk = D:\Programme\Apotechnik\ApoOffice\ApoTerminal.exe
O4 - Global Startup: ApodafueD.lnk = D:\Programme\Apotechnik\Apodafue\apodafueD.bat
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7FA6A39-30B6-431E-BF21-761DEB9AFDEF}: NameServer = 192.168.115.71
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TSI Remote Control Service (TSIRCSRV) - LapLink, Inc. - C:\WINDOWS\System32\TSIRCSRV.EXE

--
End of file - 4590 bytes

Ich hoffe jemand findet hier eine Unstimmigkeit bzw. gleich den Verursacher dieses Verhaltens.
Falls weitere Infos von Nöten sind werde ich dieses natürlich so schnell wie möglich zur Verfügung stellen!

mfg
:alien_alt:
Alien
 
:rolleyes: Das liegt daran das dieser Rechner vor einer (gefühlten) ewigkeit eingerichtet wurde und ich mich dann auch nicht mehr drum gekümmert habe, weil Windows so konifguriert war, dass es Updates eben automatisch runterlädt und installiert. Nur habe ich dann nicht dran gedacht, dass das bei SP3 und IE updates natürlich nicht einfach so funktioniert.

Wenn ich den Rechner doch ganz platt machen muss werde ich dafür sorgen dass die aktuellste Software zum Einsatz kommt.

Allerdings würde ich trotzdem gerne wissen WAS bei mir diese Threads verursacht, die dann das System durch 100% CPU-Auslastung und dutzende offene Verbindungen bremst.
 
In den Bereichen HKLM...RUN, Startup und Global Startup, werden einige Programme hochgefahren, die für die Verbindungen und Verbindungsversuche verantwortlich sein könnten. Zunächst würde ich deshalb alles Programme aus den Autostartbereichen nehmen, die das System nicht benötigt.

Hinter den Prozessen "svchost.exe" verbergen sich Systemdienste, wie zum Beispiel die Druckerwarteschlange, die Windows Bilderfassung, DCOM-Launcher... Mit dem kostenlosen Tool "Process Explorer" von Microsoft werden alle Prozesse (ähnlich dem Taskmanager) gelistet, nur ist das Programm auskunftsfreudiger. (auch zu empfehlen "AutoRuns" Funktionen wie die nachstehenden Programme)

Link zu den Microsoft-Tools: http://technet.microsoft.com/de-de/sysinternals/bb795533.aspx

Dazu kannst du das Windows-Progrämmelchen "msconfig.exe" oder 3rd-Party-Freeware wie Starter.exe,... nutzen.

Darüber hinaus, kannst Du auch die Dienste von Acronis und LapLink beenden und die Startoption temporär auf "Manuell" setzen.


Wahrscheinlich bist Du damit das Last und das "ich will ins Internet"-Problem los. Dann gilt es zunächst Updates zu realisieren. AntiViren-Definition und AV-Programm, Betriebssystem, ... na Du weißt schon!


Danach kannst Du ja mal sehen, welche Programme überhaupt benötigt werden und bei welchen es erforderlich ist, dass sie beim Systemstart hochgezogen werden.


Christine
 
Das mit dem Process Explorer hatte ich bereits gemacht und konnte auch dadurch zwei Prozesse entdecken die mir als nicht richtig erscheinen:

- photo_id (mit nem Icon auf dem "NFS" draufstand)
- 06b402819 (von Macromedia)

Kommt mir erst jetzt, dass ich das hätte erwähnen sollen :rolleyes: Kennt jmd. dieses Programm vielleicht und kann mir genaueres sagen was diese machen?

Leider hat das vollständige entfernen dieser Programme nicht die gewünschte Besserung gebracht.
 
dies könnte etwas mit dem virus w32/virut.gen zutun haben
Ergänzung ()

könnte nur sein
 
danke für den Tipp. Hab den Virus mal gegoogelt und das hört sich wirklich schwer nach dem an nachdem ich suche!

Werde jetzt nochmal einen Scan mit Malwarebyte Anti-Malware machen und hoffen das der den Virus entdeckt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Deniz262626
Habe ich mir einen Virus eingefangen?
2 3 4
Antworten
64
Aufrufe
3.612
K3ks
K3ks
C
Virus eingefangen? - Programme und Prozesse werden automatisch geschlossen
2
Antworten
22
Aufrufe
2.102
BFF
BFF
E
Habe ich mir einen Virus eingefangen?
2
Antworten
25
Aufrufe
2.279
eddietwo
E
L
Virus/Malware eingefangen?
Antworten
8
Aufrufe
1.152
wollioderso
W
M
Wahnsinns Virus von Russen eingefangen
2
Antworten
37
Aufrufe
5.806
MokTripleA
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz