|
Arbeitsspeicher voll unter Windows 7 durch multiple conhost.exe, dllhost.exe, taskhost.exe Hallo, ich benutze seit einigen Tagen G Data Internbet Security, zuvor Antivir (free). Wahrscheinlich noch zu Antivir-Zeiten habe ich mir anscheinend einen Rootkit/Virus eingefangen. Nach ca. 30 Minuten surfen ist regelmäßig der Arbeitsspeicher voll durch multiple Anwendungen der o. g. Programme. Bei dem je einen wohl echten davon (bezeichnet mit meinem Namen im Task-Manager) lässt sich der Pfad anzeigen (...System32), bei allen anderen nicht. Die Prozesse lassen sich auch nicht beenden. Regelmäßig wird dann Firerfox von windows beendet da der Arbeitsspeicher voll ist und IE 10 reagiert nicht mehr. Ein Bootscan mit G Data und ein Fullscan + Rootkit-Suche hat nichts ergeben. Jetzt blockt allerdings G Data das Öffnen von IE10 und wehrt Angriffe auf Freeports ab. FRST habe ich installiert und durchlaufen lassen. Beide Protokolle folgen, auch das von G Data. Wäre super, wenn jemand helfen kann. Im Forum gibt es ja (leider) viele Leute mit ähnlichen Problemen. DANKE SEHR. Nachtrag: Öffne ich den IE NICHT, ist die Arbeitsspeicherauslastung normal und die genannten Programme laufen nicht. Nachtrag 2: G Data gibt mir leider keine Möglichkeit, das Fehler oder Aktionsprotokoll komplett zu exportieren. :wtf: FRST Logfile: Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:25-12-2015 |
Hi Wie kommst du auf rootkitbefall? Nur weil der Arbeitsspeicher ausgelastet ist ist das noch kein Beweis für rootkits Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520 Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten! Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht! |
Hallo, ich bin mir nicht sicher, um was für einen Befall/Virus es sich handelt. Bei ähnlichen Problemen hier im Forum war es laut der Betroffenen meist ein Rootkit, aber das ist meinerseits Spekulation. Allerdings macht G Data immer wieder die folgende Meldung (ca. 12 Mal bisher): Code: G Data bietet leider keine Möglichkeit, ein Textfile der Logs zu generieren oder über strg c+v zu kopieren. Er findet keine Viren, aber 7 Treffer bei der Rootkit-Suche, ein paar uninstaller und das hier: win32/adware/conduit.B, conduitinstaller.exe, AppData local Die o. g. Prozesse sind nicht ständig. Irgendwann starten sie, nach 15-20 Minuten ist dann der CPU voll und kein Arbeiten ist mehr möglich. Seit einigen Stunden ist zwar Ruhe, aber .... Ich hoffe sehr, das hilft etwas, auch wenn ich keine weiteren Logs habe. |
Malwarebytes Anti-Rootkit (MBAR) Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers |
Vielen Dank zunächst. mbar hatte im 1. Durchlauf 10 Funde: Code: |
Zitat:
|
2. Durchlauf keine Funde. Es läuft alles im Moment. Gegen 23 Uhr lief plötzlich ein msdtc.exe, der allein den kompletten Arbeitsspeicher fraß und sich nicht beenden liess. Ich konnte nur durch eine Systemwiederherstellung auf 17 Uhr wieder online gehen und Eure Hilfe umsetzen. Nochmals Danke. Was war das denn jetzt und was hat es gemacht? Der Verschlüsselungstrojaner hat merklich nichts bewirkt, außer überall zwei Textfiles zu hinterlegen, die bei jeder Programmöffnung aufpoppten. Die Daten waren aber unberührt. Ich habe die Textfiles komplett rausgelöscht (bis auf die Ausnahme oben ....). G Data hatte ja 7 Funde, ich hatte die Hoffnung, das dieser Trojaner damit erledigt sei. :confused: Wie kann ich mich schützen - offenbar ist der Virus an Antivir und G Data ohne Probleme vorbei. |
Zitat:
|
Zunächst nochmals VIELEN DANK. Bislang läuft alles einwandfrei, CPU liegt bei 5-15 %, keinerlei Störungen mehr. Ich bin froh, euch gefunden zu haben, empfehle euch weiter und spende auch etwas im neuen Jahr. Meine Daten sichere ich regelmäßig auf externe Platten, das sind z. B. sehr viele Bilder. Im Nachhinein habe ich wohl echt Dusel gehabt wenn ich sehe, was Andere so erleben mit einem Verschlüsselungstrojaner (... von dem ich hier zum 1. Mal hörte). Updates lade ich immer nach Bestätigung, nur Windows rappelt und rappelt, bringt mir dann aber seit ca. 4 Monaten immer wieder die Nachricht: Nicht möglich, unbekannter Fehler. Da kann man echt was mit anfangen mit dieser Auskunft .... Das ist aber wohl kein Trojaner-Problem (hoooofffffe ich doch ....) Bleibt weiter so engagiert dabei, ihr habt mir den Jahreswechsel gerettet. |
Adware/Junkware/Toolbars entfernen 1. Schritt: Malwarebytes Downloade Dir bitte  Malwarebytes Anti-Malware
(alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!) 2. Schritt: adwCleaner Downloade Dir bitte  AdwCleaner auf deinen Desktop.
3. Schritt: JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
4. Schritt: Frisches Log mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Schritt 1-3 haben soweit geklappt, hier sind die logs: AdwCleaner Logfile: Code: # AdwCleaner v5.026 - Bericht erstellt am 30/12/2015 um 00:23:30JRT Logfile: Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Bei malwarebytes habe ich leider einen Fehler gemacht und das Protokoll nicht gespeichert. Es waren ausschließlich gelbe Ergebnisse. Jetzt habe ich allerdings 2 Probleme: FRST aktualisiert sich nicht (keine Rückmeldung). Ein Untersuchen ist damit nicht möglich. Ebenso startet Windows das Herunterladen von Updates, tut aber nichts und hängt (0 % erledigt von ....) und bricht schließlich ab. IE 10 funktioniert nicht mehr. Die Zeile mit dem Auswählen möglicher Optionen fehlt, er öffnet auch nicht mehr die Startseite. Eine Direkteingabe in die Browserzeile ist möglich, bewirkt aber gar nichts. Firefox läuft (glücklicherweise), sonst würde ich jetzt ein ziemloch dummes Gesicht machen. Was soll ich jetzt machen? Systemsteuerung - alten Zustand wieder herstellen? |
Was sind denn gelbe Ergebnisse? :wtf: Malwarebyte sspeichert immer die Logs. Sieh bitte richtig nach im Verlauf. |
Zwischenzeitlich war ich unter der Dusche, nach 20 Minuten war FRST dann doch gerade dabei, sich zu aktualisieren. Die Untersuchung lief, ein Addition-Ergebnis gab's allerdings nicht. Dann blieb der Rechner komplett hängen, runter-hoch brachte keine Änderung, erst ein 'Kaltstart' (3 Sekunden auf den Einschaltknopf) ermöglichte dann wieder eine Browser-Nutzung. Der IE läuft wieder. Die Windows-Updates brechen aber nach wie vor ab. 90 Wichtige sind nach wie vor in der Schlange. FRST Logfile: Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:29-12-2015Ich war zu doof für die Bilderanleitung von Malwarebytes (mbam) und habe nicht exportiert und die Ergebnisse gespeichert. Ich sehe finde nirgends ein Log oder einen Verlauf, sorry. |
Steht denn da nirgend WAS genau MBAM gefunden hat? |
Hallo, Ich habe über das Tool die Verschiebung in die Quarantäne rückgängig gemacht, den Scan nochmals durchgeführt und DIESES MAL das Speichern nicht vergessen Code: Nützt das Log oben etwas? |
Alles nur Junkware Müll. Nix besonderes. Dann zeig mal frische FRST Logs. Haken setzen bei addition.txt dann auf Untersuchen klicken http://www.trojaner-board.de/picture...&pictureid=611 |
FRST Logfile: Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:29-12-2015Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:29-12-2015 |
FRST-Fix Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: emptytemp:Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Hat relativ lange gedauert und der Systemneustart hat mich auf dem linken Fuß erwischt, aber sonst hat alles funktioniert. Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:29-12-2015 durchgeführt von ******* (2015-12-31 10:58:31) Run:1 Gestartet von C:\Users\*******\Downloads Geladene Profile: ******* (Verfügbare Profile: ********) Start-Modus: Normal ============================================== fixlist Inhalt: ***************** emptytemp: ***************** EmptyTemp: => 850.7 MB temporäre Dateien entfernt. Das System musste neu gestartet werden. ==== Ende von Fixlog 11:00:26 ==== |
Okay, dann Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte: 1. Schritt: MBAM Downloade Dir bitte Malwarebytes Anti-Malware
2. Schritt: ESET ESET Online Scanner
3. Schritt: SecurityCheck Downloade Dir bitte  SecurityCheck und:
|
Hallo, das war jetzt langwierig und übel. Eset blieb 2 Mal hängen bei World Of Warships. Das Game habe ich dann deinstalliert. Dann lief er durch - brauchte aber dennoch 5 Stunden. Das Log hatte 2,4 Millionen Zeichen und war damit 20 x zu lang für einen Post. Ich habe fast alles rausgenommen - es waren zig-Tausend fast identische Meldungen über das html-File 'how-recover', die wohl an jeder Datei und jedem Bild dranhing. Ein paar der Meldungen sind noch Teil des Logs. Jetzt mache ich mir doch richtig Sorgen wegen dieses Verschlüsselungs-Trojaners. Nach wie vor kann ich aber alle Dateien und Textdokumente ohne Probleme öffnen. Zwischendrin wollte Windows wieder Updates laden. Das scheiterte wie in den vergangenen 12 Monaten. Aber wenigstens gibt es jetzt einen Fehler-Code: 80070308 statt wie bisher 0000000. Unbekannt ist dieser Fehler Windows trotzdem. Code: Malwarebytes Anti-Malware |
Versuch mal Windows so zu reparieren, wenn du Glück hast laufen die Updates danach wieder => Windows reparieren - so geht's - Anleitungen |
Das hat gerade vorhin schon geklappt. Mit dem Fehlercode konnte ich auch wenigstens zielgerichtet suchen, die erste Lösung hat auch geklappt. Bis auf ein einziges hat windows jetzt alle Updates installiert. Vielen Dank nochmals. Der Fehlercode nach den Scans/Bereinigungen hat es entschieden. Sonst ist nichts auffälliges bei den letzten Scans? Ich kann wieder beruhigt schlafen? Ein gutes Neues Jahr und mein Dank und meine Anerklennuing für Deine beharrliche Mühe. |
Die Funde von ESET löschen, sind aber eh nur nervige Reste vom Verschlüsselungstrojaner. Warum der deine Dateien nicht zerstören kannte weiß ich nicht. Irgendwas muss ihn ja daran gehindert haben. Und ja, selbst Malware ist nicht frei von Bugs :D Ich empfehle die Deinstallation von Java, es wird im Prinzip nicht mehr gebraucht. Oder hast du einen Grund dafür? Wenn ja, muss es ständig aktuell gehalten werden. Sieht soweit ok aus :daumenhoc Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Es ist etwas langsam, aber ich werde Firefox löschen und nochmals neu installieren, dann sollte es wieder besser gehen. Java braucht die Online-Kinoplatzreservierung, aber dafür kann ich es jeweils kurz installieren (alle 6 Wochen ca. .....) Der G Data Scan hat nichts mehr ergeben. Ich bin jetzt mal 2 Tage weg, dann hat das System Zeit, sich zu erholen ... Viele Grüße |
Dafür braucht man Java??? :wtf: Du verwechselst jetzt aber nicht Java mit JavaScript!? |
Öhm .... Ich wurde von der Platzreservierung immer zurecht gewiesen, dass man dafür Java braucht und man es hier runterladen kann. Das war mir irgendwann zu dumm und ich habe es nicht mehr gleich danach deinstalliert, sondern drauf gelassen. Das fliegt jetzt aber auch noch runter, endgültig. So einen Trouble wie nach dieser Action brauche ich nicht alle paar Tage ..... |
Eigentlich hat man da nicht mehr so einen Stress weil Firefox Java zum Glück nur noch per Nachfrage aktiviert. Eigentlich. Man sollte sein Glück aber nicht überstrapazieren. Und es hat sich immer bewährt, nur das unter Windows installiert zu haben (zusätzlich) was auch unbedingt erforderlich ist. |
Servus, 10 Tage sind rum und mein System läuft nach wie vor einwandfrei, lädt Windows-Updates runter und G Data blockt alle paar Tage den Versuch, meinen PC auf offene Ports zu scannen. Soweit also alles im grünen Bereich, ich denke wir können den Thread hier 'schließen'. Spende ist auch unterwegs. Nochmals danke und viele Grüße. |
Dann wären wir durch! :daumenhoc Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus: Abschließend müssen wir noch ein paar Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern. http://deeprybka.trojaner-board.de/b...cleanupneu.png Cleanup: (Die Reihenfolge ist hier entscheidend) Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken. Falls Combofix verwendet wurde: http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren
Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.
Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst. Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen. http://deeprybka.trojaner-board.de/b...ast/schild.png Absicherung: Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen: Browser Java Flash-Player PDF-Reader Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen. Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig. Verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank: Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und/oder mit dem ESET Online Scanner scannen. Optional: http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. NoScript kann gerade bei technisch nicht allzu versierten Nutzern beim Surfen zum Nervfaktor werden; ob das Tool geeignet ist, muss jeder selbst mal ausprobieren und dann für sich entscheiden. Alternativen zu NoScript (wenn um das das Verhindern von Usertracking und Werbung auf Webseiten) geht wären da Ghostery oder uBlock. Ghostery ist eine sehr bekannte Erweiterung, die aber auch in Kritik geraten ist, vgl. dazu bitte diesen Thread => Ghostery schleift Werbung durch http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen. Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif. Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen. Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner . Abschließend noch ein paar grundsätzliche Bemerkungen: Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems. Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden. Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann. |
Hallo Cosinus, ich war 3 Wochen beruflich weg, deshalb die späte Reaktion. Ich habe alles gemacht wie beschrieben. Inzwischen findet Windows auch wieder die Updates (ging nicht mehr seit 10.01.). Nochmals vielen Dank. Bleibt weiter so engagiert dabei, bitte. Aus meiner Sicht können wir diesen Thread abschließen. Viele Grüße |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board
