![]() |
yhsrppjqqh.exe führt sich automatisch aus und legt dann den PC lahm Hallo Leute, ich habe folgendes Problem. Jedes Mal, wenn ich meinen PC starte, dann startet sich (zu sehen im Task-Manager) die Datei yhsrppjqqh.exe mit. Nach wenigen Sekunden fängt dieses Programm dann an, sich selbst immer wieder aufzurufen und auf nach ein paar Minuten habe ich hunderte dieser Dateien in meinem Task-Manager. Die Systemauslastung geht natürlich auf 100% und mein PC ist vollkommen lahmgelegt. Deswegen habe ich die Festplatte ausgebaut und diese an meinen zweiten PC angeschlossen, damit diese dort nicht als "Primary", sondern als zweite Festplatte ausgeführt wird. Auf diese Weise konnte ich ohne Probleme auf die Festplatte zugreifen und habe folgendes gemacht: HiJackthis durchlaufen lassen (kein Ergebnis, das mir weitergeholfen hätte - Logfile folgt), sowie Ad-Aware, Malewarebytes und Antivir durchlaufen lassen. Diese drei Programme haben alle etwas gefunden und ich habe es bereinigen lassen. Leider führt sich die Datei beim Systemstart weiterhin auf und die einzige Möglichkeit zu verhindern, dass mein PC abstürzt ist, dass ich die Datei sofort über den Task-Manager mit "Prozessstruktur beendet" kille. Dann läuft der PC auch ohne Probleme. Des weiteren laufen seitdem auch auffällig viele svhost.exe auf meinem PC. GOOGLE liefert übrigens keine Ergebnisse zu der *.exe-Datei - ich gehe davon aus, dass sich dieser Virus auf jedem PC anders benennt. Hier das Log-File von HiJackThis (die Datei ist zwar in dem Log-File zu finden, ist aber nicht verschwunden, wenn ich auf "Fix" drücke): Zitat:
Ich hoffe, jemand kann mir helfen. MfG, Timosy |
Ich habe die Datei jetzt im TEMP-Ordner gelöscht bekommen und es sieht so aus, als hätte es geholfen. Das Problem mit den ganzen svhost bleibt jedoch. MfG, Timosy |
Hallo und :hallo: Code: Platform: Windows XP SP2 (WinNT 5.01.2600) Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
Zitat:
Was die Updates angeht, bin ich mir bewusst, dass ich einige "verpasst" habe. Liegt daran, dass die Leute von Microsoft bestimmt nicht so begeistert von mir wären.... wie auch immer Ich habe mir den Thread mal eben angesehen und der Link zu diesem "RSIT" funktioniert nicht. Habe auch nochmal eben bei Google nachgeschaut, aber auch die Seite, die ich dort finde kann mir nicht angezeigt werden. Gibt es das Programm überhaupt noch? Habe nämlich in den letzten Tagen festgestellt, dass so ziemlich alle Online-Virenscanns nicht mehr zu erreichen sind. Was Malewarebytes angeht, so findet das Programm mittlerweile nichts mehr. Der letzte Virus, der vorhin erfolgreich gelöscht wurde ist der folgende: Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully. MfG, Timosy |
Was meinst Du damit, dass MS nicht so begeistert wäre? Du hast doch keine schwarze Version von Windows? :teufel2: Bitte arbeite die Liste ab und poste die Logfiles. |
Zitat:
Hier also die Log-Files: <KLICK> :) |
Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus. Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: (Vorsicht, die Liste ist lang, bitte wirklich ALLES exakt kopieren!!) Code: registry keys to delete: 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. |
Zitat:
Mein Pc hat nach dem Avenger beim Hochfahren eine Fehlermeldung gezeigt, ist direkt wieder abgestürzt und hat sich danach mehrmals aufgehängt. Das Logfile wurde mir dementsprechend beim Start nicht angezeigt. Hat das Programm das File vll. irgendwo gespeichert? Würde den Avenger eigentlich ungerne nochmal starten, bevor das ganze nochmal passiert. MfG, Timosy |
Probier das nochmal mit dem Avenger, aber benutze dieses veränderte Script: Code: registry keys to delete: |
Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 Timosy |
Wahrscheinlich wurden die Dateien bzw. Objekte schon beim ersten Durchlauf gelöscht. Mach mal bitte einen Durchlauf mit Combofix: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern! Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken! Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] |
Der Explorer startet nun auch wieder automatisch! Code: ComboFix 09-09-27.04 - Administrator 28.09.2009 13:24.1.2 - NTFSx86 |
Weiter gehts: Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: c:\windows\system32\gknegnm.dll Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!) Code: KILLALL:: 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Soo.. Habe mir soeben doch mal die neuesten Updates von MS gezogen. Diese Datei (c:\windows\system32\gknegnm.dll) war nicht mehr vorhanden. Hier das Logfile von ComboFix: File-Upload.net - ComboFix-Log---timosy.txt MfG, Timosy |
Hast Du das genau so mit dem CFScript auch gemacht? Die Einträge, die ich so löschen wollte, sind nämlich immer noch da. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 19:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board