|
svchost frisst ram und firefox spinnt Also wir haben folgendes problem: Seid ungefähr einer woche spinnt unsere svchost.exe herrum das heist, sie wird stätig größer bis unser ganzer arbeitsspeicher aufgebraucht ist. und geht bis zu einem neustart nicht mehr runter. Ab einem gewissen zeitpunkt funktioniert unsere startleiste auch nicht mehr also man kann nix mehr anklicken und sie aktualisiert nicht mehr. Unser firefox macht seitdem nur noch maleware und werbungs seiten auf wenn wir auf google links anklicken. Oder er geht einfach aus bzw. macht von sich aus was neues auf. oder das system ist vollausgelastet cpu 100%. Wir hoffen uns kann jemand sagen woran das liegt und wie man das entfernen kann D; MFG Akasha&EisKeks Danke ^^ |
hallo download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten. |
svchost frisst ram und firefox spinnt Wir haben folgendes problem: Die svchost.exe wächst permanent an und macht somit unseren kompletten arbeitsspeicher mit 5gb voll X_X. Und das geht sehr schnell. Dies beschleunigt sich wenn wir mit programmen arbeiten wie firefox vlc mediaplayer gimp ect. (das schließen dieser programme verringert den arbeistspeicher dann auch nicht mehr). Seit dem dieses problem besteht spinnt auch unser firefox rum indem er wild tabs öffnet und auch andere sachen öffnet als wir anklicken. In der host datei von windows habe ich geschätzt 10000 webseiten adressen gefunden welche ich schon gelöscht habe und auch nicht weis warum diese dort waren. es sah aus wie porno seiten und werbeseiten und so. Unser pc startet auch ab und zu mal einfach aus heiterem himmel neu. Und unser firefox schliest ab und zu wenn er mal lust hat bzw. stürtzt ab. Die taskleiste funktioniert nach einer gewissen zeit auch nicht mehr sie ist dann nur noch auf stillstand (nicht einmal mehr die uhr geht weiter). Weitere fehler haben wir noch nicht gefunden. Wir haben das ungute gefühl das dort etwas ganz grässliches auf unserem pc ist ò.O ich hoffe ihr könnt uns da helfen :o (logfiles im anhang) |
sorry hab ich auch grad gesehen. 1. deinstaliere spybot es stört die reinigung, neustart. 2. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Spybot ist deinstalliert und hier einmal die log file: ( wir haben laut CF das Rootkit.ZeroAccess drauf ich dachte das das noch erwähnenswert ist. das hat es uns nähmlich ganz am anfang in einer msgbox angezeigt ) Code: ComboFix 11-06-06.07 - Spirits Of Shamaya 07.06.2011 18:59:25.1.1 - x86 |
hi, machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc |
Wir haben mal paypal aufgeladen und bei amazon was gekauft aber das bei amazon war bevor wir das letzte mal windows neu installiert haben. ansonsten eigentlich nix weiter. Also und wichtige sachen naja wir bauen ein online mmorpg das ist schon sehr wichtig :) |
also, du hast einen rootkit auf dem pc, um genau zu sein das tdss rootkit. da dieses dem angreifer volle kontrolle gibt, würde ich, nach datenrettung, das system neu aufsetzen, alle passwörter endern. ich zeige dir, falls erwünscht, wie man richtig absichert. |
X_X na klasse das ist wieder typisch wir ahben erst vor 1 monat windows neu gemacht ... und vor 1 woche unsere dsl anschluss bekommen xD. Naja also es würde mich freuen wenn du das zeigen könntest wie ich das richtig absichere und es würde uns auch sehr helfen wenn du einen tipp hast wie der nicht wieder hier drauf gelangen kann. PS: wir haben eine externe festplatte die immer an ist muss die auch neu gemacht werden? ò.O und wenn ja wie kann ich dann meine daten retten? ò.O |
nö die externe festplatte muss nicht neu gemacht werden, und wenn deine daten gesichert sind, erkläre ich dir natürlich sehr gerne, wie du dich möglichst nie wieder infizierst, dafür sind wir ja auch hier :-) |
das ist perfeckt also ich kann jetzt ohne bedenken die daten von meiner lokalen auf die externe ziehen ja? oder muss ich noch was durchaufen lassen oder so ? ^^ |
kannst los legen :-) |
Ok wir sind fertig ^^ wie geht es nun weiter? |
da unser system eh schon zum scheitern verurteilt war haben wir mal aus spass den TDSSKiller von kasparsky runtergeladen und durchlaufen lassen. Welcher das Rootkit.win32.tdss(tdl4) gefunden hat. Wir waren ehrlich gesagt nicht großer hoffnung weil es bei keinem weg ging nach dem entfernen. Lustigerweise war es bei uns dann nach dem entfernen nach einem neustart und einem neuen scann nicht mehr da xD. Firefox funtzt wieder. komische sache oO aber wir vertrauen dem ganzen noch nicht deswegen machen wir weiter wie du uns nun anweisungen gibst. also die sachen sind nun alle gesichert auf der externen platte. (welche aber immer an war) Muss auf dieser platte dann noch irgend was gemacht werden? bzw. kann eventuell da auch der verursacher des rootkits noch liegen? Und letzte fragen was gibt es alles für möglichkeiten sich ein rootkit einzufangen? Danke ^^ |
ja, das system muss trotzdem formatiert werden. wenn ich das aus deinen aussagen richtig gelesen habe, weist du ja, wie man formatiert. falls dem nicht so ist, schreih ganz laut. wenn du formatiert hast, gehts hiermit weiter: http://www.trojaner-board.de/96344-a...-rechners.html hier alles unter xp/ allgemeines abarbeiten! außerdem den abschnitt Maßnahmen für ALLE Windows-Versionen abarbeiten. als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier: http://www.trojaner-board.de/127580-...igurieren.html denke die haben das beste gesammt angebot für kostenlose produkte. als browser opera. falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt. um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden. alle benötigten verknüpfungen fürs eingeschrenkte konto nach c:\benutzer\Default\desktop bzw \startmenü kopieren. so sind sie für alle sichtbar wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte. wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren. |
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY Also wir haben das versucht grade runter zu laden aber wir bekommen eine e-mail mit einem link der auf eine seite geht wo nix funktioniert auser das man auf eine seite kommt wo man dann die sachen kaufen kann und wenn ich da dann das USB Vaccine nochmal find und da downloade drücke muss ich nochmal meine daten angeben und bekomme wieder diese e-mail. also wird es ein endloser kreislauf. :/ * Ok haben es hinbekommen ^^ der 2te link war anscheinend anders da sind wir auf eine andere seite gekommen wo wirklich ein downloade war ;D |
|
also wir haben unser betriebssystem neu drauf gemacht. die ganzen schritte von Anleitung: Maßnahmen zur Absicherung des Rechners haben wir erfolgreich abgearbeitet. bis auf das backup, da müssen wir noch eine externe festplatte kaufen. als browser haben wir opera genommen und als vierenprogramm avast und malewarebytes. sandboxie ist auch drauf, geniale sache. ^^ und die externe festplatte wo die geretteten daten haben wir erst mal ausgelassen. werden wir uns als nächstes vornehmen. scheint alles in allem jetz ein recht sicheres system zu sein, müssen wir noch irgendetwas beachten? |
na wenn autorun aus ist, kannst du die platte mal mit avast scannen. bei secunia und file hippo aufpassen. einige updates werden auf englisch instaliert. ist bei java, flash etc kein problem, aber bei programmen in denen du arbeitest. wie zb browser. ich würde es wie folgt machen. im browser unter favoritten einen unterordner "programme" anlegen, dort kann man die seite von adobe, opera etc abspeichern, und wenn filehippo oder secunia anschlagen, von dort die deutsche version laden. bei programmen die nur player funktionen zb ausführen quicktime etc, ist ja egal ob sie auf englisch sind denke ich. ein vollständig gepatchtes system hilft dir schon mal weiter, sehr häufig werden offene lücken genutzt um einzudringen. wenn ihr alles einhaltet, sollte das eig nicht mehr gelingen, falls doch, backup zurück spielen, macht aber ein sektorweises backup (mit master boot record "mbr") das zurück spielen dauert zwar länger, dafür überlebt garantiert auch keine malware :d |
Wir haben da ein problem ich glaube die festplatte wird nicht erkannt weil avast kann sie nicht scannen und das panda ding sagt: Vaccination was not possible Disk structure is not vaild. Run chkdsk/f command. Was sollen wir nun machen? |
siehst du die festplatte unter computer? |
Woops du hast ja geantwortet haben wir garnicht mitbekommen weil es auf seite 3 stand ._. tut uns leid. Naja auf jeden fall hat sich das irgendwie von alleine geklärt. ich kann nicht sagen warum er es erst nicht erkannt hatte wir hatten dann eine minute gewartet und es nochmal ausprobiert und dann ging es bei avast und dem panda. Wir haben jetzt auch alles soweit und sind hoffe ich damit jetzt gegen rootkits geschützt :) Vielen vielen dank für deine hilfe. Ich hätte da aber noch eine frage undzwar ist der remotedesktop von windows sicher? oder können dadurch auch vieren übertragen werden und sich womöglich tief ins system schreiben. |
hi, sichere mal alle daten von der festplatte die dir wichtig sind. also von der externen runter auf den pc, falls es probleme gibt. dann mache mal über rechtsklick auf das laufwerk, eigenschaften, tools, eine datenträger überprüfung, beide haken setzen, nur um sicer zu gehen. sagen wir mal so, remote verbindungen sind immer ein potentielles risiko und solche programme sollten abgeschalten werden, sobald man fertig ist. wenn ihr alles einhaltet seit ihr sehr gut gegen malware geschützt. und wenn nicht gibts ja noch das backup :d |
ok das ist gut und nun meine letzte frage ^^ Muss ich meinen root server der ssl verschlüsselung hat auch schützen wenn ja womit am besten. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board