CPU Auslastung 100% Firefox- und anschließender Systemabsturz. Vermutung: sychost.exe-Virus
 

Hallo!
Wie toll, dass es euch gibt! Eure Hilfestellungen zu anderen Problemen machen mir jedenfalls große Hoffnung. Ich würde nämlich gern um eine Systemwiederherstellung herumkommen wenn möglich....mal schauen...

Seit ca. November passiert es immer häufiger, dass der Firefox auf meinem 64-Bit HP G62 Laptop (Win7) speziell beim Online-Streaming von Videos plötzlich abstürzt. Das Bild wird langsam, der Ton kratzt schrecklich und beim Neustart von firefox (nach einfachem Schließen) erscheint nur die Nachricht: firefox wird bereits ausgeführt.

Erst testete ich firefox selbst, mehrfache Neuinstallation, aber keine Änderung. Dann habe ich das AddOn für den Divx- sowie den Flash-Player erneuert. Mehr AddOns habe ich nebenbei auch nicht. Java bekam ein Update, alle Windowsupdates sind drauf. Ich benutze AVG als Antivirensoftware, McAfee ist zwar installiert, aber nicht aktiv. Ich habe Virenscans von AVG und mit Viprerescue (empfahl ein Kumpel für Trojaner) durchgeführt ohne Ergebnis.

Seitdem habe ich angefangen, den firefox nach einem Absturz nur noch mit dem Taskmanager zu schließen, was anfangs auch hervorragend funktionierte. Mir fiel auf, dass die CPU bei 90-100% lag. Nach dem Schließen durch den Taskmanager ging die CPU nach wenigen Momenten wieder auf 0%. Leider funktioniert das bis heute nicht mehr so gut, sodass ich teilweise bis zu 5 Neustarts des ganzen Systems brauche, bis die extreme Auslastung und die Begleiterscheinungen wieder verschwinden. Allerdings dann auch nur bis zum nächsten Streamaufruf bzw. 1-5 Minuten nach Beginn des Streams oder spätestens einfach irgendwann beim sonstigen Gebrauch von firefox.

Im Taskmanager ist mir dann aufgefallen, dass der Prozess sychost.exe ganze 12mal in meinem Laptop vorkommt, mal als System-, dann als Netzwerk- dann als Lokaler Dienst-Prozess. Beim Versuch den sychost.exe anzuhalten, hat er sich einfach verdoppelt. Da hab ich dann lieber angefangen, die Finger von zu lassen. Leider bin ich Laie, geb zwar mein Bestes, konnte unter google oder hier aber keine konkrete Lösung finden, weshalb ich hoffe, dass ihr mir helfen könnt. Dafür schon mal im Voraus LIEBEN DANK!

Hier meine DDS:
DDS (Ver_2011-08-26.01) - NTFSAMD64
Internet Explorer: 8.0.7601.17514 BrowserJavaVersion: 1.6.0_30
Run by Verena at 16:15:21 on 2012-02-16
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3958.2538 [GMT 1:00]
.
AV: AVG Anti-Virus Free *Enabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}
SP: AVG Anti-Virus Free *Enabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Program Files (x86)\AVG\AVG9\avgchsva.exe
C:\Program Files (x86)\AVG\AVG9\avgrsa.exe
C:\Program Files (x86)\AVG\AVG9\avgcsrva.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\atieclxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe
C:\Program Files (x86)\AVG\AVG9\avgwdsvc.exe
C:\Windows\SysWOW64\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
C:\Program Files (x86)\CyberLink\TV Enhance\Kernel\TV\TVECapSvc.exe
C:\Program Files (x86)\CyberLink\TV Enhance\Kernel\TV\TVESched.exe
C:\Program Files (x86)\AVG\AVG9\avgemc.exe
C:\Program Files (x86)\AVG\AVG9\avgnsa.exe
C:\Program Files (x86)\AVG\AVG9\avgcsrvx.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe
C:\Program Files (x86)\Realtek\Audio\OSD\RtVOsd64.exe
C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe
C:\Users\Verena\AppData\Roaming\Dropbox\bin\Dropbox.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files (x86)\AVG\AVG9\avgtray.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files (x86)\CyberLink\PowerCinema\PCMAgent.exe
C:\Program Files (x86)\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe
C:\Program Files (x86)\CyberLink\PlayMovie\PMVService.exe
C:\Program Files (x86)\CyberLink\TV Enhance\TVEService.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Hp\HP Software Update\hpwuschd2.exe
C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqToaster.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpCaslNotification.exe
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\conhost.exe
C:\Windows\SysWOW64\cscript.exe
.
============== Pseudo HJT Report ===============
.
mWinlogon: Userinit=userinit.exe
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
BHO: DivX Plus Web Player HTML5 <video>: {326e768d-4182-46fd-9c16-1449a49795f4} - C:\Program Files (x86)\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
BHO: Windows Live Anmelde-Hilfsprogramm: {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
uRun: [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
uRun: [HPADVISOR] C:\Program Files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe view=DOCKVIEW
uRun: [Google Update] "C:\Users\Verena\AppData\Local\Google\Update\GoogleUpdate.exe" /c
mRun: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
mRun: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe
mRun: [QlbCtrl.exe] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
mRun: [AVG9_TRAY] C:\PROGRA~2\AVG\AVG9\avgtray.exe
mRun: [WirelessAssistant] C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
mRun: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
mRun: [PCMAgent] "C:\Program Files (x86)\CyberLink\PowerCinema\PCMAgent.exe"
mRun: [CLMLServer] "C:\Program Files (x86)\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe"
mRun: [PlayMovie] "C:\Program Files (x86)\CyberLink\PlayMovie\PMVService.exe"
mRun: [TVEService] "C:\Program Files (x86)\CyberLink\TV Enhance\TVEService.exe"
mRun: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
mRun: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
mRun: [HP Software Update] C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe
mRun: [<NO NAME>]
mRun: [DivXUpdate] "C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
StartupFolder: C:\Users\Verena\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\Dropbox.lnk - C:\Users\Verena\AppData\Roaming\Dropbox\bin\Dropbox.exe
StartupFolder: C:\Users\Verena\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\OPENOF~1.LNK - C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
mPolicies-explorer: NoActiveDesktop = 1 (0x1)
mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: HideFastUserSwitching = 0 (0x0)
IE: Free YouTube to Mp3 Converter - C:\Users\Verena\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - C:\PROGRA~2\MICROS~4\Office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{1836C5DF-6BD3-4F33-BA84-5AF63BF9A82A} : DhcpNameServer = 192.168.1.1
TCP: Interfaces\{1836C5DF-6BD3-4F33-BA84-5AF63BF9A82A}\14C4943454D275C414E44383 : DhcpNameServer = 192.168.1.1
TCP: Interfaces\{1836C5DF-6BD3-4F33-BA84-5AF63BF9A82A}\14C4943454D275C414E47353 : DhcpNameServer = 192.168.1.1
TCP: Interfaces\{1836C5DF-6BD3-4F33-BA84-5AF63BF9A82A}\35475627E69647A7B656 : DhcpNameServer = 192.168.1.1
TCP: Interfaces\{1836C5DF-6BD3-4F33-BA84-5AF63BF9A82A}\3596475636F6D6162373431663 : DhcpNameServer = 80.69.100.174 80.69.100.198
TCP: Interfaces\{1836C5DF-6BD3-4F33-BA84-5AF63BF9A82A}\64259445A51224F6870264F6E60275C414E40273234303 : DhcpNameServer = 192.168.178.1
TCP: Interfaces\{1836C5DF-6BD3-4F33-BA84-5AF63BF9A82A}\74962716D6F6E64696 : DhcpNameServer = 192.168.200.1
TCP: Interfaces\{19E8CE94-6224-4CBE-9FD3-BEA45CE821E9} : DhcpNameServer = 192.168.1.1
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG9\avgpp.dll
SEH: EasyBits ShellExecute Hook: {e54729e8-bb3d-4270-9d49-7389ea579090} - C:\Windows\SysWow64\EZUPBH~1.DLL
mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "C:\Program Files (x86)\Common Files\LightScribe\LSRunOnce.exe"
{18DF081C-E8AD-4283-A596-FA578C2EBDC3}
{326E768D-4182-46FD-9C16-1449A49795F4}
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
BHO-X64: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
{9030D464-4C02-4ABF-8ECC-5164760863C6}
{DBC80044-A445-435b-BC74-9C25C1C588A9}
TB-X64: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
mRun-x64: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
mRun-x64: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe
mRun-x64: [QlbCtrl.exe] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
mRun-x64: [AVG9_TRAY] C:\PROGRA~2\AVG\AVG9\avgtray.exe
mRun-x64: [WirelessAssistant] C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
mRun-x64: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
mRun-x64: [PCMAgent] "C:\Program Files (x86)\CyberLink\PowerCinema\PCMAgent.exe"
mRun-x64: [CLMLServer] "C:\Program Files (x86)\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe"
mRun-x64: [PlayMovie] "C:\Program Files (x86)\CyberLink\PlayMovie\PMVService.exe"
mRun-x64: [TVEService] "C:\Program Files (x86)\CyberLink\TV Enhance\TVEService.exe"
mRun-x64: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
mRun-x64: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
mRun-x64: [HP Software Update] C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe
mRun-x64: [(Standard)]
mRun-x64: [DivXUpdate] "C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
SEH-X64: {E54729E8-BB3D-4270-9D49-7389EA579090}: EasyBits Security Shield Hook - prevents launching insecure programs by kids
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\Verena\AppData\Roaming\Mozilla\Firefox\Profiles\lheuqom4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2269050&SearchSource=13
FF - component: C:\Program Files (x86)\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll
FF - plugin: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll
FF - plugin: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\Program Files (x86)\Microsoft Silverlight\4.0.60831.0\npctrlui.dll
FF - plugin: C:\Program Files (x86)\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: C:\Users\Verena\AppData\Local\Google\Update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: C:\Windows\SysWOW64\Adobe\Director\np32dsw.dll
FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll
.
============= SERVICES / DRIVERS ===============
.
R1 AvgLdx64;AVG Free AVI Loader Driver x64;C:\Windows\system32\Drivers\avgldx64.sys --> C:\Windows\system32\Drivers\avgldx64.sys [?]
R1 AvgMfx64;AVG Free On-access Scanner Minifilter Driver x64;C:\Windows\system32\Drivers\avgmfx64.sys --> C:\Windows\system32\Drivers\avgmfx64.sys [?]
R1 AvgTdiA;AVG Free Network Redirector x64;C:\Windows\system32\Drivers\avgtdia.sys --> C:\Windows\system32\Drivers\avgtdia.sys [?]
R1 SBRE;SBRE;\??\C:\Windows\system32\drivers\SBREdrv.sys --> C:\Windows\system32\drivers\SBREdrv.sys [?]
R1 vwififlt;Virtual WiFi Filter Driver;C:\Windows\system32\DRIVERS\vwififlt.sys --> C:\Windows\system32\DRIVERS\vwififlt.sys [?]
R2 AdobeARMservice;Adobe Acrobat Update Service;C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-1-3 63928]
R2 AERTFilters;Andrea RT Filters Service;C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe [2010-4-20 98208]
R2 AMD External Events Utility;AMD External Events Utility;C:\Windows\system32\atiesrxx.exe --> C:\Windows\system32\atiesrxx.exe [?]
R2 avg9emc;AVG Free E-mail Scanner;C:\Program Files (x86)\AVG\AVG9\avgemc.exe [2010-7-7 921952]
R2 avg9wd;AVG Free WatchDog;C:\Program Files (x86)\AVG\AVG9\avgwdsvc.exe [2010-7-7 308136]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
R2 ezSharedSvc;Easybits Shared Services for Windows;C:\Windows\system32\svchost.exe -k netsvcs [2009-7-14 20992]
R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);C:\Program Files (x86)\CyberLink\TV Enhance\Kernel\TV\TVECapSvc.exe [2011-9-27 464224]
R2 TVESched;TVEnhance Task Scheduler (TTS));C:\Program Files (x86)\CyberLink\TV Enhance\Kernel\TV\TVESched.exe [2011-9-27 189792]
R2 UNS;Intel(R) Management & Security Application User Notification Service;C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-4-20 2320920]
R3 Com4QLBEx;Com4QLBEx;C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2010-1-23 227896]
R3 HECIx64;Intel(R) Management Engine Interface;C:\Windows\system32\DRIVERS\HECIx64.sys --> C:\Windows\system32\DRIVERS\HECIx64.sys [?]
R3 RTL8167;Realtek 8167 NT Driver;C:\Windows\system32\DRIVERS\Rt64win7.sys --> C:\Windows\system32\DRIVERS\Rt64win7.sys [?]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;C:\Windows\system32\DRIVERS\vwifimp.sys --> C:\Windows\system32\DRIVERS\vwifimp.sys [?]
S2 HP Support Assistant Service;HP Support Assistant Service;"C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe" --> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [?]
S3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;C:\Windows\system32\DRIVERS\netw5v64.sys --> C:\Windows\system32\DRIVERS\netw5v64.sys [?]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;C:\Windows\System32\drivers\RtsUStor.sys [2010-4-20 225280]
S3 SrvHsfHDA;SrvHsfHDA;C:\Windows\system32\DRIVERS\VSTAZL6.SYS --> C:\Windows\system32\DRIVERS\VSTAZL6.SYS [?]
S3 SrvHsfV92;SrvHsfV92;C:\Windows\system32\DRIVERS\VSTDPV6.SYS --> C:\Windows\system32\DRIVERS\VSTDPV6.SYS [?]
S3 SrvHsfWinac;SrvHsfWinac;C:\Windows\system32\DRIVERS\VSTCNXT6.SYS --> C:\Windows\system32\DRIVERS\VSTCNXT6.SYS [?]
S3 TsUsbFlt;TsUsbFlt;C:\Windows\system32\drivers\tsusbflt.sys --> C:\Windows\system32\drivers\tsusbflt.sys [?]
S3 USBAAPL64;Apple Mobile USB Driver;C:\Windows\system32\Drivers\usbaapl64.sys --> C:\Windows\system32\Drivers\usbaapl64.sys [?]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk62x64.sys --> C:\Windows\system32\DRIVERS\yk62x64.sys [?]
.
=============== Created Last 30 ================
.
2012-02-16 09:16:54 634880 ----a-w- C:\Windows\System32\msvcrt.dll
2012-02-16 09:16:54 498688 ----a-w- C:\Windows\System32\drivers\afd.sys
2012-02-16 09:16:53 690688 ----a-w- C:\Windows\SysWow64\msvcrt.dll
2012-02-16 09:15:02 3145728 ----a-w- C:\Windows\System32\win32k.sys
2012-02-01 12:24:39 -------- d-----w- C:\Program Files (x86)\Audiograbber
2012-01-22 22:52:04 -------- d-----w- C:\Users\Verena\AppData\Local\DDMSettings
.
==================== Find3M ====================
.
2012-01-10 22:21:10 414368 ----a-w- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
2012-01-04 00:48:42 354176 ----a-w- C:\Windows\SysWow64\DivXControlPanelApplet.cpl
2011-11-30 12:50:41 175616 ----a-w- C:\Windows\System32\msclmd.dll
2011-11-30 12:50:41 152576 ----a-w- C:\Windows\SysWow64\msclmd.dll
2011-11-19 14:58:00 77312 ----a-w- C:\Windows\System32\packager.dll
2011-11-19 14:01:00 67072 ----a-w- C:\Windows\SysWow64\packager.dll
2011-11-19 00:08:32 136 ----a-w- C:\Users\Verena\AppData\Roaming\srvblck2.tmp
.
============= FINISH: 16:17:02,95 ===============

In diesem Zusammenhang: Wozu nutzt du diesen DivX-Player? Seiten wie Youtube brauchen nichtmal mehr Flash, es reicht HTML5

Wenn man aucf so komische Nachfolgerseiten wie das vom kürzlich geschlossenen illegalen Portal geht, würde mich das nicht wundern. Aber dazu gibt es leider keine Infos von dir was für Streamingseiten du nun genau meinst :glaskugel:

Lieber Arne,

mir ist durchaus bewusst, dass das Onlinestreaming Risiken birgt. Ich denke über legal/illegal sollten wir hier nicht diskutieren, da mein Problem auch vollkommen unabhängig vom Streamen auftritt. Außerdem schaue ich sowieso nur Videos, die in den USA frei zugänglich sind, an die ich aber nicht rankomme, weil ich mich nicht so gut auskenne, als dass ich meine IP anonymisieren, o.ä. könnte. Ich denke also meine Nutzung ist legitim und du bist beruhigt. Und natürlich verschlägt es auch mich das ein oder andere Mal auf diese bekannte Seite...

Ich habe vorgestern noch einmal Firefox aktualisiert, AVG und Malwarebytes drüber laufen lassen (unabhängig voneinander). Log von mwb ist angehängt, AVG versteh ich leider nicht, wie ich an die Datei rankomme, sorry.
Seltsam war, dass in der Zeit, in der AVG deinstalliert war, ein sog. Windows-Defender ansprang, den ich nicht kenne und in der Systemsteuerung nicht als Programm aufgeführt ist. Muss der da sein oder könnte sich der sogar mit anderen Programmen nicht vertragen?

Naja, danach lief 1 Tag alles gut, dann wieder CPU bei 100%. Normalerweise liegt der Wert bei durchschnittlich 5%, auch während ich streame.

Vielleicht hast du ja noch weitere Ideen, wie du mir helfen könntest!?
LG

Doch das ist immer ein Thema. Gerade solche Seiten verteilen Malware! Also lass einfach die Finger davon in Zukunft!

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Lieber Arne,
du hast ja recht....und vielleicht kennst du ja nachdem wir mein Problem gelöst haben ein paar gute Möglichkeiten bzw. Empfehlungen, wie ich doch in den Genuß der neusten Episoden komme ohne mein System erneut in Gefahr zu bringen...

Die angeforderten Logs sind im Anhang. Sorry, da sind diverse abgebrochene dabei, bei denen ich die Aktualisierung vorher vergessen hatte oder es ein Absturz unmöglich gemacht hat, auch nur den Quick-Scan laufen zu lassen.

Neuerdings hat sich sychost.exe noch um ein paar weitere vermehrt. Es existiert nun als Lokaler Dienst, Netzwerkdienst und Systemprozess...bei jedem Versuch des Neustarts bekomme ich den Hinweis: "Hintergrundprogramme müssen noch geschlossen werden" obwohl kein von mir geöffnetes mehr läuft. Ist jetzt halt die Frage, was da hintenrum noch so läuft außer meinem AVG...?

Schonmal was von Videotheken gehört? Gibt auch Online-Videotheken. Und man kann sich auch DVDs kaufen, ja wer hätte das gedacht. Aber von diesen Streamingseiten lässt du mal schön die Finger in Zukunft. :pfui:

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Ich leihe mir ordnungsgemäß alles Filme aus der Videothek aus oder gehe ins Kino, mir fällrt es nur so schwer, die Finger von den Serien zu lassen, die am Vortag brandneu im US-Tv liefen....naja....

Malwarebytes rattert, wollte nur noch schnell fragen, ob es ausreicht, einfach Beenden zu klicken, um den AVG komplett "AUS" zu machen??? Wenn schon reparieren, dann richtig :aufsmaul:

Danke & bis später!

Dann musst du aber auch nicht über einen infizierten Rechner jammern, wenn du diese Drecksschleuderseiten immer wieder besuchst :balla:
Und ja, AVG am besten deaktivieren

ok... ich war kurz weg vom Schreibtisch, als ich wiederkam, war der laptop gerade am Neustarten. Ich weiß also nicht, ob das eset fertig war, oder evtl. vom Virus geblockt wurde...? Möglich?

Wie ges/fragt, habe im AVG nur unter Datei -> Beenden geklickt, weiß ja nicht, ob das ausreicht, den ganz abzuschalten?

Sorry, das mit dem Code check ich nicht.... hab das log mal in den Anhang getan.

Also ich weiß einfach nicht wie man das einfacher erklären soll :balla:
http://www.trojaner-board.de/misc.php?do=bbcode#code

Und ESET hast du falsch ausgeführt! => Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen

Entschuldige bitte meine Fehler. Das Programm läuft gerade nochmal drüber... aber ist das normal, dass das sooo lange dauert? Er ist erst bei 30% und läuft schon 2:21h...

Mal sehen, ob das in deinem Sinne war... und wie es wohl so weitergeht....

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hier die "normale" Log (er hat noch eine Extra-Log erstellt s.u.)

Hier noch die Extra-Log:

OTL EXTRAS Logfile:
--- --- ---

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Sind wir nun wieder komplett gesund ?

Was bitte hast du schon mit dem TDSS-Killer angestellt?! Log dazu?!

Oh ja... das war ein erster Versuch nach Selbstrecherche....

Das war wohl ein Satz mit X! :zunge:

Bitte richtig machen: Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehlalarm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Lieber Arne, wie schon zweimal von mir gefragt:

?Wie deaktiviere ich den AVG richtig? Denn ich scheine es nur zu schaffen, die Benutzeroberfläche zu beenden und ComboFix hat nochmal extra gewarnt, dass AVG aktiv ist. Bitte gib mir doch nen Tipp. Danke!

Das Nutzen einer Suchmaschine ist nicht verboten! => AVG - Temporäres Deaktivieren von AVG | Häufig gestellte Fragen

Er scheint durch zu sein. Nur zeigt er seit mind. 30 Minuten an:
Das mit den Anwendungen und der Fehlermeldung ist eingetroffen. Soll ich also nun lieber warten oder neu starten?

Danke!
Habs geschafft...

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Sorry, hab beim ersten Scan nicht auf die success-Nachricht gewartet....also hier dann beide logs:

MBR ist immer noch unbekannt. Bitte wiederholen

Soweit ich das sehen kann, hat sich leider nichts verändert....außer, dass es einen Absturz gab, als ich das Programm hab laufen lassen...

Du klickst auch schon auf FixMBR?! :wtf:

Du liest auch schon deine Anweisungen???
Also doch fix klicken?

Ja ich lese schon, hab dich in diesem Fall aber mit jmd anderes verwechselt :lach:
Wäre nicht passiert, wenn ich dochnochmal nach oben gescrollt und mal nachgesehen hätte, ob ich die MBR-Fix-Anweisung gepostet hab :o dann hätte ich mir diese meine Ausrede jetzt sparen können :D :zunge:

Also dann jetzt:

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.



Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Kann ja mal passieren... stell mich zwar schon mal blöd an, aber da war ich mir doch sicher :heilig:

Alles getan, dann schauen sie mal nach Hr. Doktor :dankeschoen:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Seltsam, die email und dein Post stimmen nicht überein...ich hab mich mal an den Post gehalten...

Sieht ok aus, da wurden nur Cookies gefunden.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Soweit sieht alles prima aus. Dafür erstmal ein riesiges :dankeschoen:

Kann ich nun alle Programme löschen oder empfiehlst du welche/alle zu behalten?

Und: Könntest du mir als Profi denn geeignete Software empfehlen für folgende Bereiche:
1. Anti-Virus
2. Anti- Malware, Adware, etc...
3. ich suche ein Programm, dass meine IP verschlüsselt und es so aussehen lässt, als ob ich in den USA bin. Denn das ist die einzige Möglichkeit, meine geliebten Serien direkt auf den "sicheren" Homepages der TV-Networks zu gucken, ohne "gezwungen" zu sein, die BÖSEN Seiten zu besuchen und damit wieder in die Misere zu geraten. Damit würdest du mein Leben retten!

Ich bin gern bereit, für Software zu bezahlen, wenn ich dadurch einen immer aktuellen Schutz vor allem Bösen des www bekomme.

HIER MUSS NOCHMAL ERWÄHNT WERDEN: ARNE HAT MICH UND MEINEN LAPTOP GERETTET!!! :dankeschoen::dankeschoen::dankeschoen:

Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Geld ausgeben muss man nicht für einen Scanner, sowas wie Avast oder Microsoft Security Essentials sind für die privaten Gebrauch völlig ausreichend.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sicherere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File
9. Finger weg von: TuneUp, Registry-Cleanern aller Art, Softonic sowie illegalen Cracks/Keygens oder anderen "Tools" um ein kommerzielles Programm ohne Lizenz nutzen zu können
10. dubiose Seiten bzw. Kinofilm-Streaming-Portale ebenfalls sein lassen, erstens handelt man sich dort schnell Malware ein oder kann in Abofallen geraten und zweitens bewegen sich diese Seiten in einer rechtlichen Grauzone.

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Man kann Sicherheit nicht allein durch Software in bunten Pappschachteln erkaufen, warum hab ich oben erwähnt


Da gibt es ein paar Lösungen, aber die Performance ist sehr besch...eiden. Probier mal TOR aus und/oder die FF-Erweiterung Stealthy




Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Arne, du bist ein :heilig:

Vielen Dank für die Tips, werde gleich mal alle durchgehen, beherzigen und dann hoffen, dass wir gesund bleiben.
Habe vor einiger Zeit den WR Cleaner empfohlen bekommen, sehe aber in deiner Antwort, man sollte solche Programme gar nicht benutzen? Darf ich fragen warum?
Hab ihn einmal drüber laufen lassen. Aber werde ihn wohl dann lieber wieder runter schmeißen.

Und: Was heißt das?

Dass man nicht ständig mit Adminrechten drin ist! Für den alltäglichen Umgang benutzt man ein Windows-Bentuzerkonto mit normalen Rechten => Benutzerrechten - und geht nur in ein Konto mit Adminrechten wenn man diese Rechte für administrative Tätigkeiten benötigt

Stell dir ein Adminkonto vor wie eine Schusswaffe, die immer geladen und entsichert ist, und mit dieser läufst du ständig herum. Irgendwann schießt du dir damit in den Fuß.
Die Schusswaffe lädst und entsicherst du nur, wenn du sie wirklich brauchst - oder nicht? :pfeiff:

Hallo Arne,

als ich gerade meinen Laptop mithilfe deiner Tips optimieren wollte, ist eingetreten, was ich befürchtet hatte: Gleicher Fehler wie ganz am Anfang, nur dieses Mal blieb die CPU bei 98-100% und ging nicht nach einer Weile runter.
Außerdem haben sich die sychost.exes auch wieder vermehrt.

Am Ende hab ich mich für eine Systemwiederherstelliung entschieden. Besonders das Secunia hat Probleme gemacht.

Und: ComboFix lässt sich nicht deinstallieren sowie auch SuperAntiSpyware nicht.

Hilfe, Hilfe, Hilfe bitte!

Mehrere laufende svchost.exe sind normal. Das ist ein legitimer Systemdienst! Wenn da aber wirklich was von "sychost" steht sind das Schädlinge.

Probleme mit diesem Tool kenn ich nicht. Was für Probleme sollen das sein, wieso beschreibst du das nicht gleich am Anfang genau?

Ich könnte hier gerade ausrasten, ehrlich....

Also zu deinen Fragen:

Es ist tatsächlich sVchost.exe, aber denkst du, dass es normal ist, dass sich das vermehrt, wenn man den Prozess manuell beendet? Kommt mir jedenfalls komisch vor.

Und mit Secunia habe ich nicht direkt ein Problem, aber mein CPU 100%-Problem hat nach der Installation davon wieder losgelegt.

Außerdem habe ich mein AVG gegen COMODO ausgetauscht, nur komm ich mit dem ersten Scan gerade bis ca. 10% bis dann die CPU wieder bei 100% ist und dementsprechend der Scan langsamer ist, als täte man es per Hand.

Ich bin echt verzweifelt und weiß auch echt nicht, was passiert sein soll, dass das böse Phänomen wieder da ist. Ich habe mich wirklich nur an deine abschließenden Tips gehalten.

Zusammenfassend:

Ich habe alle Programme, die ich während unserer Analyse installiert habe wieder runtergeschmissen. Außer SuperAntispyware und ComboFix, die habe ich heute erst deinstalliert (hat endlich geklappt)

Ich habe neu installiert: Thunderbird, diese hosts-Datei, die du empfohlen hast und dann noch das Secunia. Dann wars wieder da. Ich habe ausschließlich Download-Links genommen, die du empfohlen hast und habe jede Datei nochmal vorm Ausführen mit AVG gescannt.
Außerdem habe ich Java neu installiert sowie die im Updatecenter angegebenen Windows-Updates. Das müsste es gewesen sein.

Ich weiß einfach echt nicht, was passiert sein soll.

Ich hoffe inständig, dass dir noch eine Möglichkeit einfällt, wie wir das Problem lösen könnten!

LG, Verena

P.S.: Ich bemerke auch gerade, dass auf dieser Seite jegliche Benutzersymbole vor unseren Namen fehlen, falls das ein Hinweis sein könnte.

Was soll das manuelle Beenden?! :balla:
Weißt du dann was genau sich für Funktionalitäten hinter der svchost Instanz verbergen? Nein, also lass es sein einfach irgendwas abzuwürgen

Genau das hätte ich NICHT rempfohlen wenn du sowas wie Comodo Internet Security meinst! :balla:
Umgehend deinstallieren!

Da soll noch einer durchblicken...COMODO hatte so gute Meinungen, sah mir aber schon nach ein wenig too much für freeware aus.

Deinstallation ist abgeschlossen, Avast dafür installiert und gleich mal damit einen QuickScan gemacht ohne Befund.

Wollte jetzt nochmal versuchen, das Secunia zu installieren, um zu schauen, ob das tatsächlich der Auslöser war (denn COMODO war da ja noch gar nicht drauf).

Falls du eine bessere Vorgehensweise vorschlägst, sag mir Bescheid :crazy: