Hallo,

ich hab seit kurzem das Problem, dass nach gewisser Zeit mein Rechner sich so gut wie aufhängt. Daraufhin, hab ich im Taskmanager überprüft, woran es liegen könnte. Das Problem liegt daran, dass bei mir 4 mal der Prozess "svchost.exe" läuft. Ich glaube bei WinXP ist es normal, dass es 3 Prozesse sind, die alle ca. 3 bis 7 MB Speicher brauchen. Ich hab jedoch einen svchost-Prozess, der direkt nach Systemstart ca. 20MB Speicher brauch. Dieser Prozess wird ebenfalls vom "system" ausgeführt (ein zweiter der auch vom "system" ausgeführt wird brauch nur ca. 6 MB). Nach einer gewissen Zeit, "laggt" mein PC einmal kurz und dann benutzt der svchost-Prozess nicht nur 20 MB Speicher, sondern auch durchgehend 100% meines CPU. Weiterhin steigt der zugesicherte Speicher von 115M auf ca. 620M an.

Ich habe, darauf hin meine Festplatte mit AntiVir auf Viren geprüft und er hat bei mir den Dldr.Epesor.AB Virus entdeckt. AntiVir konnte ihn jedoch nicht beseitigen. Die HijackThis Log Datei enthällt auch keine unsauberen Prozesse (log wird zum ende dieses Post geschrieben). Nachdem das Problem mit AntiVir nicht zu lösen schien, hab ich mit eScan meine PC im Abgesichertem Modus auf Viren überprüft. Das Ergebnis lautete:

File C:\WINDOWS\System32\xplugin.dll infected by "TrojanDownloader.Win32.Esepor.v" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Holti\Eigene Dateien\!ReadMe.exe infected by "Backdoor.Win32.Gobot.gen" Virus. Action Taken: No Action Taken.

Habe daraufhin bei Google und auch hier im Forum nach Lösungen gesucht um die beiden Viren loszuwerden. Habe jedoch keine Richtige Lösung gefunden. In der Hoffnung den Virus zu beseitigen habe ich nun die beiden Dateien xplugin.dll und die !Readme.exe gelöscht. Hat jedoch nicht geholfen.
Ich hoffe, ihr könnt mir helfen...

MfG raphaeL

*edit:
Wenn ich die 20MB svchost.exe nach Systemstart beende, tritt das Problem mit der CPU nicht mehr auf, ich kann jedoch z.B. keine Musik mehr hören etc.


Logfile of HijackThis v1.98.2
Scan saved at 19:28:52, on 13.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Download\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{41BD222F-DA47-4424-979B-13CD67D4266F}: NameServer = 192.168.0.23
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E8954D5-9274-4106-826F-A3087BF37595}: NameServer = 217.237.151.225 217.237.150.225

@raphaeL^

zur svchost-Prozess
http://www.pctipp.ch/helpdesk/kummer...in2k/25498.asp

zur zweiten problem Backdoor.Win32.Gobot.gen
http://www.trendmicro.com/vinfo/viru...e=BKDR_GOBOT.B
diese sorte verfügen über backdoor eingenschaften, wahrscheinlich ist dein system schon kompromittiert

obwohl dein logfile unauffällig ist.
du kannst es höchstens noch mit
escan versuchen

hier die anleitung
mache es genauso wie beschrieben, poste danach nur die gefundene ergebnisse. 1 scan dauert 1 stunde

chaosman

so nachdem ich den virus auch mit eurer hilfe nicht wegbekommen hab, habe ich erst von einigen daten ein backup gemacht und dann meine platte formatiert. danach hab ich mein winXP so eingerichtet wie es in dem tutorial "Windows sicher einrichten in 15 Schritte" steht. als virenscanner hab ich norton 2005 draufgemacht und der ist auch direkt bei der virenüberprüfung fundig geworden.

!Readme.exe ist war/ist auf meiner backup platte. reparieren ging nicht, also habe ich den virus isoliert. nachdem ich mich dann ins internet eingewählt hatte, kam nach kurzer zeit von norten die meldung, dass die svchost.exe das internet benutzen will. habe diesnatürlich abgelehnt. es läuft zwar jetzt alles ohne probleme, aber der virus ist ja immernoch da.

meine frage nun, ob ich den im ersten thread genannten backdoor worm irgendwie loswerden kann? auch wenn nun alles einwandfrei läuft, fühlt man sich ja schon recht unsicher mit einem virus aufm computer. komplettes formatieren kommt für mich unter keinen umständen in frage. würde mich sehr freuen, wenn einer eine lösung hat.

mfg raphaeL

p.s. ich schreibe gerne klein ich weiß ;D

Zum Verständnis und zur Erleichterung für andere Leser wäre es sinnvoller, wenn du die Gross- und Kleinschreibung beachten würdest.

Zitat:

aber der virus ist ja immernoch da.

Wo?

Was ergab die Üperprüfung durch eScan?

Folgendes kam beim eScan raus:

File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\06F4367E.exe infected by "Backdoor.Win32.Gobot.gen" Virus. Action Taken: No Action Taken.
File D:\Installer\mIRC 6.16.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.

Ich denke die mIRC Meldungen sind zu vernachlässigen.
Zu der anderen Meldung:
Es ist wie gesagt, ich hab meine Systempartition C: formatiert, doch der Backdoorvirus (!Readme.exe), hat war auch in einem Unterorder von meiner Datenpartition D:. Habe dann als erstes (noch bevor ich Online gegangen bin) nach dem Formatieren den Norton Antivirus 2005 draufgemacht. Dieser hat den Virus auf D: erkannt und da er ihn nicht reparieren konnte, hat er ihn in das Quarantäne Verzeichnis gepackt. Der Virus ist dadurch noch nicht "inaktiv": Kurz nachdem ich mich ins Internet eingewählt hab, kam von Norton die Meldung, dass die svchost.exe auf das Internet zugreifen will. Wenn ich dem Prozess dies erlaubt hätte, denke ich, dass meine CPU Auslastung durch den Prozess wieder auf 100% geht usw. Da ich ihm den Zugriff jedoch verweigert hab, ist nichts schlimmes passiert, der Virus ist aber immernoch auf meinem PC (zwar inaktiv, aber er ist noch da). Die Frage ist nun also wie ich ihn ganz loswerden kann? Als Info noch zum Virus: Ich denke, dass er sich durch den Internetzugang aktiviert und dann einen Prozess durch die svchost.exe starten will, der im Endeffekt 100% CPU brauch.

Würd mich riesig freuen, wenn ihr mir helfen könntet

MfG raphaeL^

@ raphaeL^,

hier einige Information zu den Ablegern der Familie Backdoor.Win32.Gobot.-. Ihnen allen ist gemeinsam, dass sie Dritten den Zugriff auf den befallenen Rechner ermöglichen. Lies auch unter "Erläuterung" und "erweitert" nach. Du hast ja schon einmal formatiert, am besten ist es, Du formatierst Deinen Rechner nochmal, und dann C und D. Diese Würmer lassen sich leider nicht so einfach löschen, dazu müssten auch jede Menge Registry-Einträge entfernt werden.

Hierzu einige Tipps von Cidre:

Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Falls es so wie beschrieben abgelaufen ist und der Schädling "nur" in deinen Backups gefunden wurde und du das Programm, wo er sich befand noch nicht wieder installiert hast, dürfte dein System auch noch nicht wieder befallen worden sein. Entscheidend wäre, WO genau er gefunden wurde und was du mit dem entsprechenden Programm gemacht hast. Es empfiehlt sich bei einer Neuformatierung sowieso, auf aus dem Netz geladene Programme zu verzichten und sich diese neu zu holen und nur reine Daten wie Dokumente und Bilder zu sichern.

Die Fragen von Cidre stehen also nach wie vor im Raum und wären zunaächst zu beantworten.

@ Shadowdance

Ich habe meine Systemplatte C bereits genauso formatiert, wie du es gerade zitiert hast und die Daten/Backuppartition D formatieren kommt unter keinen Umständen in Frage. Norton hat dann direkt nach dem Formatieren folgendes gefunden:

Zitat:

Quelle: D:\Backup\MyProjects\Modellrechner\!ReadMe.exe
Beschreibung: Die Datei D:\Backup\MyProjects\Modellrechner\!ReadMe.exe ist mit dem Virus W32.Gobot.A infiziert.
Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: W32.Gobot.A

Es ist also nur diese eine Datei infiziert und diese habe ich auch nach dem formatieren nicht ausgeführt, sondern direkt mit Norton isoliert. Ich dachte hiermit wäre ich den Virus endgültig los. Das einzige was mich stutzig macht, ist, dass kurz nachdem ich Online gegangen bin, Norton folgende Meldung gemacht hat:

Zitat:

Details: Der Benutzer hat eine Regel erstellt für Kommunikation "Blockieren"
Eingehendes UDP-Paket
Lokale Adresse, Dienst ist (0.0.0.0,1027)
Remote-Adresse, Dienst ist (211.18.154.127,19929)
Prozessname ist "C:\WINDOWS\System32\svchost.exe"

svchost.exe brauchte also eine Internetverbindung und diese habe ich blocken lassen, da ich denke, dass es wieder der Virus ist. Gibt es noch andere Windows-Dienste, die durch die svchost.exe gestartet werden und auf das Internet zugreifen wollen oder kann dies nur ein Virus sein??

Nochmal: Zur Zeit läuft mein ganzes System perfekt und es geht nur darum, den Virus loszuwerden (er ist NICHT aktiv). Kann ich die Dateien dann einfach löschen?

Symantec sagt dazu dieses . Aber wenn ich nun mein System im abesichertem Modus scanne, findet er garkeinen Virus mehr.


@ MountainKing

Ja, der Schädling wurde nur in meinen Backups gefunden und ich hab ihn auch nach dem formatieren nicht ausgeführt. Er wurde wie bereits weiter oben gesagt in diesem Ordner gefunden: D:\Backup\MyProjects\Modellrechner\



Eine Frage noch, die absolut nichts mit dem Thema zu tun hat. Wie kann ich einstellen, dass sich die DFÜ-Verbindung beendet, wenn ich den PC neustarte? Das passiert bei mir nicht und wenn ich nun reboote und den Verbindung nicht manuell kappe, ist meine Leitung nach dem Reboot für ca. 2 min besetzt.

Hoffe, ihr könnt mir helfen

MfG raphaeL^

Zitat:

Zitat von raphaeL^

Eine Frage noch, die absolut nichts mit dem Thema zu tun hat. Wie kann ich einstellen, dass sich die DFÜ-Verbindung beendet, wenn ich den PC neustarte? Das passiert bei mir nicht und wenn ich nun reboote und den Verbindung nicht manuell kappe, ist meine Leitung nach dem Reboot für ca. 2 min besetzt.

Deine letzte Frage beweist - meiner Ansicht - das Gegenteil von Deiner Annahme, dass der W32/Gobot-A noch nicht auf Deinem System aktiv war/ist: "W32/Gobot-A versucht, sich mit einem remoten IRC-Server und einem bestimmten Kanal zu verbinden. W32/Gobot-A läuft dann kontinuierlich im Hintergrund und ermöglicht einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen."

Mal sehen, was die Kollegen dazu sagen.

SD

Ich versteh nicht so ganz, was meine letzte Frage mit dem Virus zu tun haben soll. Das die Leitung besetzt ist, liegt doch daran, dass ich die Verbindung nicht beendet habe und sie deswegen 2-3 min brauch um Timeout zu gehen, so dass T-Online sie wieder frei macht. Außerdem: Wenn ich die Verbindung manuell kappe, gehts ja direkt nachm Reboot wieder - vergesse das nur ab und zu Halt mal