hohe load durch prozess "system" und "explorer.exe" verbindet alleine nach russland

andyb63

OS: Win XP SP3

hallo, hier mein bericht:

ich hatte auffälliges verhalten im taskmanager festgestellt:
# pc hat hohe load durch prozess "System" und wird total langsam.

um zu schauen, ob mein rechner irgendwas selbstständig tut, habe ich mit dem programm TCPview nachgeschaut, welche programm/prozesse mit dem netz kommunizieren. als ergebnis habe ich sehr viele anfragen des prozesses "system" gesehen und dazu auch noch, das "exlorer.exe" (wobei ich nicht weiss ob file-explorer oder internet-explorer) sich mit einer IP verbindet, die erstens in russland sitzt und auch noch im bestimmten foren als spammer oder ähnliches genannt wurde. (leider IP nicht gemerkt, deswegen keine quelle, sorry).

dies hat also gereicht, um davon auszugehen, das ich mir was eingefangen hatte.

bericht nach anleitung.html:

schritt 0: LOAD.exe

load.exe hat mir zwar das verzeichnis MFtools (anleitung.html und scan.txt) erstellt, aber ich konnte am ende nicht feststellen, ob TFC.exe tatsächlich ausgeführt wurde oder nicht.
auch weiss ich nicht, was da überhaupt runtergeladen wurde und wohin.

schritt 1: TFC.exe

ich weiss nicht, ob TFC.exe gelaufen ist.
auch weiss "man" (also ich) nicht, was das tut.

schritt 2: erunt (registry sichern)

die erunt-setup.exe liegt mir nicht vor.
weiss nicht wo downloaden -> nicht gemacht

die erunt.exe liegt mir nicht vor.
weiss nicht wo downloaden -> nicht gemacht

schritt 3: Malwarebytes (schlechte software finden und unschädlich machen)

Malwarebytes upgedatet gestartet. nach ca. 10 stunden wegen zuwenig ram abgestürtzt oder hängen geblieben. (habe ca. 400 000 dateien)

nach neuem booten rechner offline gemacht, alle antivir (avast) und sonstige (McAfee) ausgeschaltet und auch manuell teatimer und andere process, die nach McAfee aussahen gestoppt.
der dann folgende scan brauchte ca. 3 stunden und fand 6 dinge, die in quarantäne gesetzt wurden.

log liegt vor.

maschine gebootet.


schritt 4: defogger (was das macht ist unklar)

defogger laufen lassen. es wurden keine fehlermeldungen rausgegeben.
aber _nicht_ erstellt wurde die datei "defogger_disable" auf dem desktop.
ob die woanders ist, weiss ich leider nicht.

schritt 5: Gmer.exe (was das macht ist unklar)

habe Gmer.exe runtergeladen. ihr wurde der name xjks6cy5.exe gegeben. habe die ausgeführt.
scan läuft auch einige stunden, machmal weiss man nicht ob es hängt.

scan war dann fertig und ich wollte das logfile abspeichern.
beim eingeben des dateinamens pasierte folgendes: der buchstabe "e" wurde automatisch wiederholt beim eingeben:
gmeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee...
mit ESC wollte ich die eingabebox schliessen, da war dann aber auch das programm weg.

nach nochmaligen booten und wiederstarten der xjks6cy5.exe hängt sich der rechner immer auf beim scannen.
deswegen gibt es hier kein log, obwohl es einmal komplett durchgelaufen war.

schritt 6: OTL.exe version 3.2.17.3

downgeloaded und gestartet.
hinweise für "Anleitung.html":
1. das klicken in die Scans/Fixes-box fragt _nicht_ nach einer datei, deswegen muss man MFtools/Scan.txt manuell reinpasten.
2. wg. "alle programm schliessen!" soll man auch hier alle anderen viren-programm etc. schliessen? denn nach jedem reboot (und das macht man ja öfter sind die ja wieder an!)
3. auch diese scan dauert ca. 2 h bei mir. bei der statusmeldung "Manual File Scan: Getting folder structure ..." dachte ich, dass das programm hängt, das es keine lebendigkeitsanzeige gibt. nur im taskmanager konnte ich sehen, dass OTL zumindest immer wieder mehr speicher bekam.

ENDE

OK, der rechner scheint zumindest wieder einsatzfähig zu sein.

-> ob ich jetzt noch irgendwas machen muss, möchte ich hiermit erfragen.

ich möchte euch meinen besonderen dank für eure arbeit hier aussprechen, denn was würde man denn ohne euch eigentlich machen?

danke und gruss
andy

anmerkung: mein file-explorer zeigt nun nach allen arbeiten keine file-extensions mehr an, z.b. auf dem desktop steht nun "OTL" statt "OTL.txt"