|
Plagegeister aller Art und deren Bekämpfung: Virus, Trojaner, Wurm? nur wenige Infos...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.10.2010, 02:44 | #1 |
| Virus, Trojaner, Wurm? nur wenige Infos... Hallo, das ist mein erster Post hier von daher bei Fehlern o.ä. bitte nicht zu hart urteilen. Zu meinem Problem habe ich leider nur wenige Infos und selber nur sehr begrenzte PCkenntnisse.... hoffe es gibt tritzdem aussicht auf PC-Heilung Wenn es auch noch trotz allem irgendwie möglich ist hoffe ich Lösungen bzw Hilfen zu bekommen, die irgendwie ohne eine systemneuauflage auskommen. Also erstmal zu der Vorgeschichte: (benutze aktuelles WinXP) 1.) alles war gut und funktionierte. 2.) Zone Alarm alte Version gegen neuste ersetzt. 2a) Neuste Version runtergeladen 2b) Alte Version deinstalliert 2c) Rechner neugestartet 2d) Neue Version installiert. 2e) Rechner neugestartet 3.) Festgestellt, das die neue Version nicht mit DTLite kompatibel ist 4.) Überlegt ob neues Imageprogramm oder neue Firewall her soll 5.) Neue Firewall als für die richtige entscheidung befunden (warum auch immer) 6.) bei chip.de Comodo runtergeladen 7.) Comodo firewallfunktion installiert 8.) ?vergessen das ZoneAlarm noch aktiviert war? falls das entscheidend sein könnte.. 9.) Nach Comodoinstallation neugestartet. 10.) erstes Mal die Probleme aufgetaucht die ich nun habe. Nun also zur Problembeschreibung: Der Rechner fährt hoch bis zur UserkontenAuswahl. Wenn windows dann auf den Desktopbildschirm läd und unten rechts die Prozesse als symbole geladen werden, beginnen die Prozesse nachdem gerade alle geladen sind nach kurzer zeit mit fehlermeldungen abzubrechen. nach dem motto "konnte nicht geladen werden", "...sind Probleme aufgetreten" etc. Wenn die ganzen popups die Beendigung der Programme mitgeteilt haben, zählt irgendwann ?zwischen?nach? den meldungen eine kurze Zeit später eine Meldung runter, die Windows herunterfahren will. ( NT -Autorität\System und irgendwas mit neustart wegen Remoteprozeduraufruf(RPC) ) Die Prozesse die nach dem hochfahren mit Mitteilung beendet werden sind folgende: ZoneAlarm (...hat ein problem festgestellt...) Ad-Aware ( ...wurde unerwartet heruntergefahren...) ATI Graphics (No ATI graphics driver ist installed, or the ATI driver is not fuctioning properly. ...) Explorer.EXE (..hat ein problem und muss beendet werden) ccc.exe - Application error (Application has generated an exeption that couldnot be handled. Process ID=0xb58 (2904), Thread ID=0xa04 (2564). MOM.exe - Application Error (Application has generated an exeption that couldnot be handled. Process ID=0x640 (1600), Threat ID=0x76c (1900), Habe dann ein paar mal neustarten lassen, da ich auf die idee gekommen war, dass die beiden paralell laufenden firewalls irgendwie probleme machen könnten. Während des Ladens der ganzen autostartprozesse gibts ein paar sekunden zeit, dass noch ein paar aktionen durchgeführt werden können. Deshalb hab ich dann versucht irgendwie die Comodo dateien zu löschen. per shift+entf hats nicht geklappt da immer was von datei... "ist in benutzung" oder "wird verwendet" oder so als meldung kam. Im abgesicherten Modus habe ich dann aus resignation den Comodoordner mit dem TuneUp-shredder gelöscht. Hat bis auf eine Datei geklappt. (cavshell.dll) Mir ist dann weiter aufgefallen, dass auf einmal im Taskmanager neue Prozesse zu sehen waren. Zu viele für mein vom gefährlichen halbwissen geprägten Sachverstand. Also das was ich an neuen Prozessen abschreiben kann die ich von vor dem zonealarm download nicht kenne sind: reader_sl.exe - Mein Benutzerkonto - Speicher: 4.532k forcefield.exe - 2x - kein benutzer - Speicher: 88k drtwsn32.exe - alle benutzer UND kein Benutzer - Speicher: variabel - insgesamt ca 30 drtwsn32.exe Prozesse dwwin.exe 4-5 mal ohne Benutzerzuordnung und unter persönlichem Benutzerkonto DW20.EXE 2x (tauchen nur seh r kurz auf ISWSVC.exe - system - 4.028k unsecapp.exe - system - 4.448k Habe dann im Netz (mit dem rechner eines bekannten) ein wenig rumgesucht und mein halbwissen mit dem halbwissen anderer vermischt. Das einzige was ich tatsächlich ausprobiert habe war der "Ausführen"-Befehl "shutdown -a" zum vermeiden des neustarts. Damit weiß ich immerhin dass die Neustart/Herunterfahren meldung insg. 2x nacheinander kommt. Leider funktioniert danach nicht mehr viel auf dem rechner auch wenn ich nach dem zweiten mal shutdown -a den "normalen" desktop vor mir habe. Rechtsklicken auf die Symbole "unten rechts neben der Uhr" funktionieren nur mit zeitverzögerung und oft mit einem anschließenden "Explorer.EXE hat ein Problem festgestellt und muss beendet werden" ... Firefox und andere Browser bekommen nach laaaanger wartezeit bis zum start des programms auch keine internetverbindung mehr.. Im endeffekt startet der Rechner dann oft nach einiger Zeit (20mis +/-) ohne nachfrage neu. Habe ihn im Moment immerhin fast 45mins am laufen, ohne das ich groß etwas machen kann. Allerdings sind nun abgesehen vom Leerlaufprozess (System) keinem Benutzernamen mehr zugeordnet. Hab auch im abgesicherten Modus Antivir und stinger durchlaufen lassen. ohne befunde. Fazit 1: kann nach dem Windowsstart nichts mehr machen. das einzige was flüssig geht ist verknüpfungen auf dem desktop einfach linksanklicken. Fazit 2: Ich könnt mich ohrfeigen nicht auf "never change a running system" gehört zu haben....!!!! Sonstige Frage. In einigen wie ich glaube eher zweifelhaften portalen hatte ich zu ähnlichen fragen gehört, dass es sasser, oder so sein könnte? PS.: Jetzt gerade nach den ca 45 minuten die der rechner zumindest auf dem desktop war, hat sich der explorer eigenständig beendet. Im noch offenen Taskmanager kann ich über den button "Herunterfahren" nur noch ""abmelden oder benutzer wechseln.. Bei "" abmelden steht glaub ich sonst immer "Benutzer" abmelden?! Ich danke schon mal für etwaitige Antworten auch wenn die informationen wohl eher dürftig sind. |
09.10.2010, 21:23 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virus, Trojaner, Wurm? nur wenige Infos... Hallo und
__________________Weder ZoneAlarm noch Comodo verwenden. Kannst Du Comodo sauber deinstallieren? Die Windows-Firewall ist alles was Du brauchst. Nach Möglichkeit einen DSL-Router verwenden, mehr Schutz braucht es nicht, ZA oder Comodo wären da kontraproduktiv. Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
Themen zu Virus, Trojaner, Wurm? nur wenige Infos... |
5 minuten, antivir, browser, chip.de, dateien, download, error, fehler, firewall, herunterfahren, keine internetverbindung, neue, neue version, neustart, neustarten, nicht geladen, popups, problem, programme, prozesse, sekunden, shutdown, system, taskmanager, trojaner, virus, warum, windows, windows xp startet neu, wurm, zone alarm |