|
svchost frisst ram und firefox spinnt Also wir haben folgendes problem: Seid ungefähr einer woche spinnt unsere svchost.exe herrum das heist, sie wird stätig größer bis unser ganzer arbeitsspeicher aufgebraucht ist. und geht bis zu einem neustart nicht mehr runter. Ab einem gewissen zeitpunkt funktioniert unsere startleiste auch nicht mehr also man kann nix mehr anklicken und sie aktualisiert nicht mehr. Unser firefox macht seitdem nur noch maleware und werbungs seiten auf wenn wir auf google links anklicken. Oder er geht einfach aus bzw. macht von sich aus was neues auf. oder das system ist vollausgelastet cpu 100%. Wir hoffen uns kann jemand sagen woran das liegt und wie man das entfernen kann D; MFG Akasha&EisKeks Danke ^^ |
hallo download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten. |
svchost frisst ram und firefox spinnt Wir haben folgendes problem: Die svchost.exe wächst permanent an und macht somit unseren kompletten arbeitsspeicher mit 5gb voll X_X. Und das geht sehr schnell. Dies beschleunigt sich wenn wir mit programmen arbeiten wie firefox vlc mediaplayer gimp ect. (das schließen dieser programme verringert den arbeistspeicher dann auch nicht mehr). Seit dem dieses problem besteht spinnt auch unser firefox rum indem er wild tabs öffnet und auch andere sachen öffnet als wir anklicken. In der host datei von windows habe ich geschätzt 10000 webseiten adressen gefunden welche ich schon gelöscht habe und auch nicht weis warum diese dort waren. es sah aus wie porno seiten und werbeseiten und so. Unser pc startet auch ab und zu mal einfach aus heiterem himmel neu. Und unser firefox schliest ab und zu wenn er mal lust hat bzw. stürtzt ab. Die taskleiste funktioniert nach einer gewissen zeit auch nicht mehr sie ist dann nur noch auf stillstand (nicht einmal mehr die uhr geht weiter). Weitere fehler haben wir noch nicht gefunden. Wir haben das ungute gefühl das dort etwas ganz grässliches auf unserem pc ist ò.O ich hoffe ihr könnt uns da helfen :o (logfiles im anhang) |
sorry hab ich auch grad gesehen. 1. deinstaliere spybot es stört die reinigung, neustart. 2. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Spybot ist deinstalliert und hier einmal die log file: ( wir haben laut CF das Rootkit.ZeroAccess drauf ich dachte das das noch erwähnenswert ist. das hat es uns nähmlich ganz am anfang in einer msgbox angezeigt ) Code: ComboFix 11-06-06.07 - Spirits Of Shamaya 07.06.2011 18:59:25.1.1 - x86 |
hi, machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc |
Wir haben mal paypal aufgeladen und bei amazon was gekauft aber das bei amazon war bevor wir das letzte mal windows neu installiert haben. ansonsten eigentlich nix weiter. Also und wichtige sachen naja wir bauen ein online mmorpg das ist schon sehr wichtig :) |
also, du hast einen rootkit auf dem pc, um genau zu sein das tdss rootkit. da dieses dem angreifer volle kontrolle gibt, würde ich, nach datenrettung, das system neu aufsetzen, alle passwörter endern. ich zeige dir, falls erwünscht, wie man richtig absichert. |
X_X na klasse das ist wieder typisch wir ahben erst vor 1 monat windows neu gemacht ... und vor 1 woche unsere dsl anschluss bekommen xD. Naja also es würde mich freuen wenn du das zeigen könntest wie ich das richtig absichere und es würde uns auch sehr helfen wenn du einen tipp hast wie der nicht wieder hier drauf gelangen kann. PS: wir haben eine externe festplatte die immer an ist muss die auch neu gemacht werden? ò.O und wenn ja wie kann ich dann meine daten retten? ò.O |
nö die externe festplatte muss nicht neu gemacht werden, und wenn deine daten gesichert sind, erkläre ich dir natürlich sehr gerne, wie du dich möglichst nie wieder infizierst, dafür sind wir ja auch hier :-) |
das ist perfeckt also ich kann jetzt ohne bedenken die daten von meiner lokalen auf die externe ziehen ja? oder muss ich noch was durchaufen lassen oder so ? ^^ |
kannst los legen :-) |
Ok wir sind fertig ^^ wie geht es nun weiter? |
da unser system eh schon zum scheitern verurteilt war haben wir mal aus spass den TDSSKiller von kasparsky runtergeladen und durchlaufen lassen. Welcher das Rootkit.win32.tdss(tdl4) gefunden hat. Wir waren ehrlich gesagt nicht großer hoffnung weil es bei keinem weg ging nach dem entfernen. Lustigerweise war es bei uns dann nach dem entfernen nach einem neustart und einem neuen scann nicht mehr da xD. Firefox funtzt wieder. komische sache oO aber wir vertrauen dem ganzen noch nicht deswegen machen wir weiter wie du uns nun anweisungen gibst. also die sachen sind nun alle gesichert auf der externen platte. (welche aber immer an war) Muss auf dieser platte dann noch irgend was gemacht werden? bzw. kann eventuell da auch der verursacher des rootkits noch liegen? Und letzte fragen was gibt es alles für möglichkeiten sich ein rootkit einzufangen? Danke ^^ |
ja, das system muss trotzdem formatiert werden. wenn ich das aus deinen aussagen richtig gelesen habe, weist du ja, wie man formatiert. falls dem nicht so ist, schreih ganz laut. wenn du formatiert hast, gehts hiermit weiter: http://www.trojaner-board.de/96344-a...-rechners.html hier alles unter xp/ allgemeines abarbeiten! außerdem den abschnitt Maßnahmen für ALLE Windows-Versionen abarbeiten. als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier: http://www.trojaner-board.de/127580-...igurieren.html denke die haben das beste gesammt angebot für kostenlose produkte. als browser opera. falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt. um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden. alle benötigten verknüpfungen fürs eingeschrenkte konto nach c:\benutzer\Default\desktop bzw \startmenü kopieren. so sind sie für alle sichtbar wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte. wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board