Hallo Leute,
Nach jedem Systemstart starte ich den Task manager (in meinem fall Process explorer) und heute ist mir etwas sehr ungewöhnliches aufgefallen. Ein mir bisher noch nicht bekannter Prozess namens sched.exe hatte einen relativ hohen Arbeitsspeicherverbrauch, so bei 170mb. Habe ein bisschen geforscht und es scheint der Antivirus scheduler zu sein. Daraufhin habe ich mir die DLLs genauer angesehen und mir ist ntdll.dll ins auge gefallen, dieser verbrauchte von allen dlls am meisten (360K) . Ich habe dann eine überprüfung mit VirusTotal durchgeführt und die Datei schien tatsächlich infiziert zu sein mit 1/54 Meldungen. Das Virenprogramm "The Hacker" meldet sich auf der Seite mit dem Ergebnis "Trojan/Injector.aoc" . Ich habe darauf den Fehler gemacht die ntdll.dll datei zu ersetzen was bei neustart dazu geführt hat, dass Windows die Datei reparieren musste. Hat auch funktioniert, ich habe es dann damit versucht, Antivir neu zu installieren. Danach schien alles zu gehen, sched.exe war verschwunden und ntdll.dll wurde als virus nicht angezeigt. Ich habe dann zur Sicherheit nochmal mit antivir alle DLLs überprüft und noch einen vollständigen Scan angefangen und bin weg gegangen. Als ich zurückkam ist mir erstmal aufgefallen das der PC extrem langsam war. Ich habe versucht process explorer zu öffnen jedoch ohne hoffnung, es hat sich geweigert. Dann sind merkwürdige Dinge passiert, alles, wo ich drübergefahren bin wurde schwarz und der PC hat überhaupt nicht mehr reagiert. Die Farbe ist als ich die windows taste gedrückt habe wiedergekommen und ist nach nochmaligem drücken wieder schwarz geworden. Ich musste den PC daraufhin auf knopfdruck ausschalten und habe ihn neu gestartet, wo ich mit der Meldung "ein datenträger muss auf konsistenz überprüft werden" überrascht wurde. Die Überprüfung ist durchgelaufen und ich konnte mich wieder anmelden. Bin sofort auf den Task manager gegangen und schwupps, sched.exe ist wieder oben in der taskleiste und ntdll.dll wird wieder mit 1/54 als virus erkannt.
Was mir außerdem aufgefallen ist: ntdll.dll wird in svchost von demselben Virenprogramm nicht als Trojaner erkannt. Keine ahnung was damit anzufangen ist.
Ich weiß echt nicht weiter und hoffe ihr könnt mir helfen
03.08.2015, 14:20
Baum-Darstellung