Schlimmes Problem mit dem PC (vermutlich Viren) - SciFi-Forum

Ankündigung

Einklappen
Keine Ankündigung bisher.

Schlimmes Problem mit dem PC (vermutlich Viren)

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Schlimmes Problem mit dem PC (vermutlich Viren)

    hey Leute,

    ich habe ein sehr übles Problem mit meinem Rechner. Es scheint sich um einen Virus oder dergleichen zu handeln. Da ich die Kiste im Moment wirklich nötig habe, wäre ich für Hilfe ziemlich dankbar.

    Also, die Symptome stellen sich so dar: Wenn ich Windows im normalen Modus hochfahre, dann "arbeitet" der PC nach dem Hochfahren unaufhörlich und so stark, dass man buchstäblich nichts tun oder ausführen kann. In der Startleiste sieht man so einen merkwürdigen grauen Button, als wären dort (Viren)programme, die im Hintergrund laufen, angezeigt. Man kann aber wie gesagt _nichts_ machen in diesem Modus.

    Der abgesicherte Modus funktioniert auch nur, wenn ich mich unter "Administrator", nicht unter meinem Benutzernamen anmelde. Hier gibt es allerdings auch kein komisches Phänomen: Das Internet kann man immer nur für ca. 5 Minuten benutzen, dann ist es, als wäre die Leitung gekappt. Ich habe im abgesicherten Modus mit einem neuen Virenscanner den PC durchsucht - und tatsächlich wurde einiges gefunden und bereinigt - aber der Mist ist dadurch nicht verschwunden.

    Weiß jemand Rat?

    #2
    Es klingt radikal aber wie wäre es mit Formatieren. Du musst dann im abgesicherten Modus wen nötig wichtige Daten auf extern Medien speicher aber dan müsste auch alles gut sein.

    Ian
    Manche Männer bemühen sich lebenslang, das Wesen einer Frau zu verstehen. Andere befassen sich mit weniger schwierigen Dingen z.B. der Relativitätstheorie. - Albert Einstein
    It's the time of great wars even greater destruction, it's time of infinite dead, welcome to the Chaos Universe
    Snipers, killing your entire company one by one.

    Kommentar


      #3
      Eine Lösung die unter Garantie funktioniert, aber etwas umständlich ist: Nimm dir irgendein Live-Betriebssystem (wo also keine Installation nötig ist) oder den Abgesichterten Modus und rette deine Daten, anschließend die Festplatte formatieren. Das ist zwar Arbeit, allerdings sind die Probleme dann innerhalb weniger Stunden beseitigt. Ob das Risiko besteht, dass du den Virus mit den gesicherten Daten wieder kriegst, weiß ich nicht, aber einen Versuch ist es wert.

      €: zu lahm.
      When I get sad, I stop being sad, and be AWESOME instead. True story.

      Kommentar


        #4
        Du klingst jetzt leider nicht wie jemand, der sich damit auskennt, aber vielleicht hast du in deinem Bekanntenkreis ja jemanden - wenn die Programme, die dich ausblocken, in der Taskleiste laufen, sind die sehr wahrscheinlich in der Registrierung ,vermutlich unter local_machine\Software\Microsoft\Windows\CurrentVersion\Run eingetragen, da stehen aber auch Programme drin wie Nvidias oder ATIs Desktopmanager usw. Wenn du also jemanden kennst, der weiß, was da stehen muß oder nicht, kann der dort erstmal die Programme am Start hindern (Schlüssel löschen), dann einen guten Malware-Scanner installieren (dein PC ist vermutlich gehijacked worden und wird "remote" mißbraucht, so wie du das beschreibst) und kann dir die Neuinstallation mit 30 Minuten bis einer Stunde Aufwand ersparen. Aber die Option solltest du wirklich nur ziehen, wenn du dir sicher bist, jemand passenden dafür da zu haben. Ansonsten kann ich mich Markovirus und Ian nur anschließen.
        Karl Ranseier ist tot. Der wohl erfolgloseste Foren-Autor aller Zeiten wurde heute von einem Bus auf der Datenautobahn überfahren.

        "Ich mag meine Familie kochen und meinen Hund" - Sei kein Psycho. Verwende Satzzeichen!

        Star Wars 7? 8? Spin-Offs? Leute, das Haftmittel für meine Dritten macht bessere Filme!

        Kommentar


          #5
          Lade dir mal ein Hijackthis (http://download.hijackthis.eu/HJTInstall.exe) runter und poste das Logfile hier herein. Dann kommen wir eher drauf, was bei dir das Problem sein dürfte. WEnn wir das wissen, dann können wir weiter spekulieren und dir sagen, ob eine neuinstallation notwendig ist oder nicht.
          Textemitter, powered by C8H10N4O2

          It takes the Power of a Pentium to run Windows, but it took the Power of 3 C-64 to fly to the Moon!

          Kommentar


            #6
            Zitat von Karl Ranseier Beitrag anzeigen
            Du klingst jetzt leider nicht wie jemand, der sich damit auskennt, aber vielleicht hast du in deinem Bekanntenkreis ja jemanden - wenn die Programme, die dich ausblocken, in der Taskleiste laufen, sind die sehr wahrscheinlich in der Registrierung ,vermutlich unter local_machine\Software\Microsoft\Windows\CurrentVersion\Run eingetragen, da stehen aber auch Programme drin wie Nvidias oder ATIs Desktopmanager usw. Wenn du also jemanden kennst, der weiß, was da stehen muß oder nicht, kann der dort erstmal die Programme am Start hindern (Schlüssel löschen), dann einen guten Malware-Scanner installieren (dein PC ist vermutlich gehijacked worden und wird "remote" mißbraucht, so wie du das beschreibst) und kann dir die Neuinstallation mit 30 Minuten bis einer Stunde Aufwand ersparen. Aber die Option solltest du wirklich nur ziehen, wenn du dir sicher bist, jemand passenden dafür da zu haben. Ansonsten kann ich mich Markovirus und Ian nur anschließen.
            Und vergiß nicht dem Computerkompetenten Bekannten etwas Geld für seine Mühe zu geben.
            Nerds mögen es nämlich nicht, wenn sie nur benutzt werden und kein Dankeschön dafür bekommen.
            Ein paar praktische Links:
            In Deutschland empfangbare FreeTV Programme und die jeweiligen Satellitenpositionen
            Aktuelles Satellitenbild
            Radioaktivitätsmessnetz des BfS

            Kommentar


              #7
              schon mal herzlichen Dank für alle Antworten!

              ich habe mir hijack mal runtergeladen. Hier ist das Ergebnis (sorry liebe Mods, was die Länge angeht):

              Logfile of Trend Micro HijackThis v2.0.2
              Scan saved at 21:34:26, on 30.08.2008
              Platform: Windows XP (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 (6.00.2600.0000)
              Boot mode: Safe mode with network support

              Running processes:
              D:\WINDOWS\System32\smss.exe
              D:\WINDOWS\system32\winlogon.exe
              D:\WINDOWS\system32\services.exe
              D:\WINDOWS\system32\lsass.exe
              D:\WINDOWS\system32\svchost.exe
              D:\WINDOWS\System32\svchost.exe
              D:\WINDOWS\Explorer.EXE
              D:\Programme\Trend Micro\HijackThis\HijackThis.exe

              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
              O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
              O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
              O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - D:\Programme\AOL Security Toolbar\AOL_security_toolbar.dll
              O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
              O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
              O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
              O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
              O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
              O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - D:\Programme\NavExcel Search Toolbar\NavExcelBar.dll (file missing)
              O2 - BHO: Gamburg provider - {FFFFFFFF-6D70-483f-804F-BB6C118FE760} - resnm16 (file missing)
              O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - D:\Programme\NavExcel Search Toolbar\NavExcelBar.dll (file missing)
              O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
              O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
              O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - D:\Programme\AOL Security Toolbar\AOL_security_toolbar.dll
              O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
              O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
              O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
              O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
              O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
              O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
              O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
              O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
              O4 - HKLM\..\Run: [MCAgentExe] d:\PROGRA~1\mcafee.com\agent\mcagent.exe
              O4 - HKLM\..\Run: [MCUpdateExe] d:\PROGRA~1\mcafee.com\agent\mcupdate.exe
              O4 - HKLM\..\Run: [BDMCon] D:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
              O4 - HKLM\..\Run: [BDNewsAgent] D:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
              O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\ZoneAlarm\zlclient.exe
              O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
              O4 - HKLM\..\Run: [REGSHAVE] D:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
              O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
              O4 - HKLM\..\Run: [C-Media Speaker Configuration] \Setup.exe /SPEAKER
              O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
              O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
              O4 - HKLM\..\Run: [aol] "D:\Programme\AOL\Active Virus Shield\avp.exe"
              O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
              O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
              O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
              O4 - HKCU\..\Run: [AVG7_Run] D:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE
              O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
              O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] D:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
              O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
              O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
              O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
              O4 - Global Startup: Adobe Gamma Loader.exe.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
              O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
              O4 - Global Startup: Exif Launcher.lnk = ?
              O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
              O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
              O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
              O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
              O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
              O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
              O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
              O16 - DPF: {2CA0FF2C-0CE1-4382-A0C4-B2782965CCC2} (G-Vista ActiveX) - http://tirisweb.tirol.gv.at/3d/geomo...vista30161.cab
              O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23ded903...dxIE601_de.cab
              O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
              O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097001251456
              O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe
              O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
              O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
              O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
              O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgemc.exe
              O23 - Service: Active Virus Shield (AVP) - AOL - D:\Programme\AOL\Active Virus Shield\avp.exe
              O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
              O23 - Service: C-DillaSrv - C-Dilla Ltd - D:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
              O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
              O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
              O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
              O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - d:\programme\mcafee.com\agent\mcdetect.exe
              O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - d:\PROGRA~1\mcafee.com\agent\mctskshd.exe
              O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - D:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
              O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
              O23 - Service: BitDefender Communicator (XCOMM) - Softwin - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

              --
              End of file - 8093 bytes


              .
              EDIT (autom. Beitragszusammenführung) :

              3of5 schrieb nach 8 Minuten und 47 Sekunden:

              Allerdings konnte ich das Programm natürlich nur im abgesicherten Modus - und eingelogt als Administrator (sonst immer mit Benutzernamen) - ausführen.
              Zuletzt geändert von 3of5; 31.08.2008, 01:15. Grund: Antwort auf eigenen Beitrag innerhalb von 24 Stunden!

              Kommentar


                #8
                ich tippe auf die rpc.exe

                [...]
                O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
                [...]
                O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
                [...]

                hab auch gleich mal nachgesehen:
                rpc.exe - Program Information


                der RPC von windows hat noch nie ne rpc.exe benötigt.. das ging wenn ich mich recht erinnere immer über die rundll32.exe.

                am besten du holst dir ne live-cd... (avira ist zum beispiel kostenlos), startest von der und hoffst das sie alles findet und nicht das das gute stück noch irgendwo vreschlüsselt nochmal liegt und sich beim systemstart wieder herstellt...

                falls doch bleibt dir wohl im groben und ganzen nur die wichtigen daten zu sichern und das system neu aufzusetzen...

                btw. nen persönlicher tipp... lass die ganzen toolbars weg.. du hast laut den dateien hast du mindestens 4 davon... ich wette du benutzt nicht mal eine....

                ach ja.. und 3 virenscanner sind da auch nicht unbedingt hilfreich... die kommen sich ehr in die quere

                Bitdefender, AVG7 und mcafee

                Kommentar


                  #9
                  Zitat von La-Forge Beitrag anzeigen
                  ich tippe auf die rpc.exe
                  ach ja.. und 3 virenscanner sind da auch nicht unbedingt hilfreich... die kommen sich ehr in die quere

                  Bitdefender, AVG7 und mcafee
                  Sie sollten unterschiedeliche Sucheengines habe dan gibts die Besten Ergebnisse.(Ich bitte um korrektur wen ich mich irren sollte danke (Aber keine Rechtschreibung bitte)

                  Nerds mögen es nämlich nicht, wenn sie nur benutzt werden und kein Dankeschön dafür bekommen.
                  Nichts gegen dich aber ich mag den Ausdrück einfach nicht.

                  Ian
                  Manche Männer bemühen sich lebenslang, das Wesen einer Frau zu verstehen. Andere befassen sich mit weniger schwierigen Dingen z.B. der Relativitätstheorie. - Albert Einstein
                  It's the time of great wars even greater destruction, it's time of infinite dead, welcome to the Chaos Universe
                  Snipers, killing your entire company one by one.

                  Kommentar


                    #10
                    Definitiv die RPC.exe. Hol dir mal Spybot (Die Seite von Spybot-S&D!) und lass das mal durchlaufen. Eventuell bringst du damit ja den Wurm weg.
                    Textemitter, powered by C8H10N4O2

                    It takes the Power of a Pentium to run Windows, but it took the Power of 3 C-64 to fly to the Moon!

                    Kommentar


                      #11
                      Sie sollten unterschiedeliche Sucheengines habe dan gibts die Besten Ergebnisse.(Ich bitte um korrektur wen ich mich irren sollte danke (Aber keine Rechtschreibung bitte)
                      naja die idee ist gut.. hapert nur an der umsetzung

                      was meinst du was passiert wenn du auf eine datei zugreifen willst und alle 3 on-access scanner die gleichzeitig scannen wollen....

                      der erste schafft das noch... aber die anderen beiden bekommen kein zugriffsrecht mehr und melden, im besten fall, das sie nicht zugreifen .. im schlimmsten fall das sie nen virus oder ähnliches gefunden haben.

                      Kommentar

                      Lädt...
                      X