|
Windows 7 64bit SP1: cmd.exe, conhost.exe, msiexec.exe und andere verdächtige Aktivitäten Guten Abend, ich habe wahrscheinlich das gleiche Problem wie schon mehrfach hier beschrieben, aber getreu der Grundregel Nr. 1 "Jede Infektion ist anders" bitte ich hiermit um eure Unterstützung. Fehlerbild: cmd.exe, conhost.exe und msiexec.exe sind mehrfach gestartet und bringen sowohl die CPU-Leistung als auch die Speicherauslastung an ihre Grenzen. Beenden der Prozesse hat nur zur Folge, dass diese sich immer neu starten. Scanläufe mit Avira Antivirus Pro bringen keine Treffer. Ich habe einen starken Verdacht, wie ich mir das eingefangen habe, aber das tut im Moment wohl nichts zur Sache. Besten Dank für eure Mühe! Mantus02 P.S.: Vielleicht ware es angebracht, wenn Rybka sich der Sache annähme, den der läuft in der Version 4.0 auf dem Rechner?! :crazy: FRST.txt: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version:13-07-2015Addition.txt: [CODE]Additional FRST Logfile: Code: scan result of Farbar Recovery Scan Tool (x64) Version:13-07-2015Gmer.txt: Code: GMER 2.1.19357 - hxxp://www.gmer.netCode: defogger_disable by jpshortstuff (23.02.10.1) |
:hallo: Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:
 Hinweis:Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden. Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert. Adware & Co. können wir sehr gut entfernen. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean :daumenhoc bekommst. Los geht's: Schritt 1 Echtzeitschutz des Virenscanners abschalten. http://www.deeprybka.trojaner-board.de/zoek/avira.gif Schritt 2 http://deeprybka.trojaner-board.de/b...s/combofix.pngScan mit Combofix
|
Hallo Jürgen, der Combofix lief im wesentlichen problemlos durch, nur ganz am Anfang kam eine Meldung vom Avira "Registry blockiert". Gruß & Dank Frank Hier das Logfile: Code: ComboFix 15-07-07.01 - Frank 17.07.2015 15:36:59.1.4 - x64 |
Hallo, Du bist die nächsten Tage vermutlich nicht über Skype erreichbar. :D Schritt 1 Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Schritt 2 http://deeprybka.trojaner-board.de/m...mbamlogo4a.pnghttp://deeprybka.trojaner-board.de/m...mbamlogo4b.png
Schritt 3 http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...t/frstscan.png Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Scan. Bitte poste mir den Inhalt der beiden Logs die erstellt werden. |
Here we go: AdwCleaner: Code: # AdwCleaner v4.207 - Bericht erstellt 17/07/2015 um 23:22:59Code: Malwarebytes Anti-MalwareFRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version:13-07-2015Additions: [CODE]Additional FRST Logfile: Code: scan result of Farbar Recovery Scan Tool (x64) Version:13-07-2015Gruß Frank |
Hi, bitte den MBAM-Scan wiederholen und darauf achten, dass die Datenbanken aktualisiert wurden. Log wieder posten. |
Hallo, hier das MBAM-Logfile nach Aktualisierung der Datenbanken: Code: Malwarebytes Anti-Malware |
:D Sieht schon besser aus. Die Funde hast Du aber in Quarantäne oder? Jetzt noch bitte ESET: Schritt 1 ESET Online Scanner
|
Hallo Jürgen, das war ein schweres Stück Arbeit, weil bei bestehender Internet-Verbindung immer noch der Trojaner aktiv wird und den Rechner an die Belastungsgrenze bringt. Habe deshalb nach dem Herunterladen der Signaturen durch ESET den online-Zugriff abgeschaltet, zumal ja auch Avira und die Firewall deaktiviert waren. Hier der ESET-Log: Code: ESETSmartInstaller@High as downloader log:Frank |
Bitte poste frische FRST-Logs: Schritt 1 http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...t/frstscan.png Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Scan. Bitte poste mir den Inhalt der beiden Logs die erstellt werden. |
Hier die FRST-Logfiles: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version:13-07-2015Addition.txt: [CODE]Additional FRST Logfile: Code: scan result of Farbar Recovery Scan Tool (x64) Version:13-07-2015 |
Welche Probleme bestehen noch? |
Hallo Jürgen, ich bin mir noch nicht ganz sicher, ob jetzt alles i.O. ist, denn nach Internet-Zugang läuft insgesamt 12x der Prozess svchost.exe. Immerhin habe ich keine cmd.exe, conhost.exe und msiexec.exe mehr und die Speicherbelastung ist nicht mehr ganz so hoch. Ich würde das bis morgen mal beobachten und mich dann nochmal melden, wenn's recht ist. Gruß Frank |
Hi, wir sind ja auch noch nicht fertig. Aber was ist das Problem mit der svchost.exe? Die läuft im Taskmanager bei "Prozesse aller Benutzer" oder? Bitte mach noch folgendes: Avira deaktivieren. Schritt 1 http://deeprybka.trojaner-board.de/b...d/uploadch.PNG Upload:
Bitte um Rückmeldung ob es geklappt hat! ;) Danke für Deine Hilfe! |
Hallo Jürgen, der Upload mit der kopierten Zeile scheitert mit "Datei wurde nicht gefunden". Im Windows-Explorer sehe ich die Datei aber?! Der Rechner sieht jetzt aber gut aus, keine auffälligen Aktivitäten mehr. Gruß & Dank Frank |
Dann lade sie bitte mal hier hoch: filedropper.com und schicke mir den Download-Link via privater Nachricht. |
Hallo Jürgen, der Rechner läuft auch heute morgen stabil. Ich denke, die Schädlinge sind abgetötet. Die Datei habe ich dir gemailt. Gruß Frank |
Hi, danke für die Hilfe. https://www.virustotal.com/de/file/7...is/1437298385/ Schritt 1 http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...st/frstfix.png Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe notepad in das Ausführen Fenster. Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument: Code: CloseProcesses:
Code: Java(TM) 6 Update 12Code: Adobe Flash Player 17 ActiveXSkype am besten neu installieren. Wichtige Online-Passwörter ändern. Dann wünsche ich weiterhin viel Spaß beim Schach! (Offtopic: Was ist Deine Lieblingseröffnung Weiß/Schwarz? Welcher Lieblingsspieler?) http://deeprybka.trojaner-board.de/b...ndeeprybka.gif Wir haben es geschafft! :abklatsch: Die Logs sehen für mich im Moment sauber aus. Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus: Es bleibt mir nur noch, Dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;) http://deeprybka.trojaner-board.de/b...cleanupneu.png Cleanup: (Die Reihenfolge ist hier entscheidend) Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken. Falls Combofix verwendet wurde: http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren
Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.
Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst. Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen. http://deeprybka.trojaner-board.de/b...ast/schild.png Absicherung: Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen: Browser Java Flash-Player PDF-Reader Sicherheitslücken (z.B. hier) in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen. Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig. Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank. Meine Kauf-Empfehlung: http://deeprybka.trojaner-board.de/eset/ESS.png ESET Smart Security Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware scannen. Optional: http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen. Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif. Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen. Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner . Abschließend noch ein paar grundsätzliche Bemerkungen: Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems. Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden. |
Hallo Jürgen, vielen Dank für deine Hilfe! Eine Spende fürs Board ist selbstverständlich. (Offtopic: Meine Lieblingseröffnung ist mit Weiß und Schwarz Sizilianisch. Einen ausgesprochenen Lieblingsspieler habe ich nicht.) Hier noch das Fixlog von FRST: Code: Fix result of Farbar Recovery Scan Tool (x64) Version:18-07-2015 01 |
Also bist Du ein 1.e4 Spieler? Mit Schwarz habe ich Najdorf, Drachen oder Sveshnikov im Repertoire. Da lohnt sich insbesondere die Partien von Fischer und Kasparov zu studieren. Als Kramnik-Fan habe ich aber Petrov adaptiert. Die Berliner-Mauer ist mir da doch zu langweilig. :D Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board
