Bitte Hilfe, Malware :(

Athon · 11.05.2012, 12:49

Hey WCMer!

Tut mir leid wegen des nichtssagenden Titels, allerdings ist mir absolut umbekannt um welche Malware es sich handelt.

Beim spielen von BF3 habe ich festgestellt, dass von heute auf morgen die Leistung meines Rechners schwächer war da meine FPS stark gesunken sind. Also habe ich mal im Taskmanager die Prozesse beobachtet und da sind mir einige etwas komisch vorgekommen. Hier mal eine Liste derer, die ich für fragwürdig halte:

AppleMobileDeviceService.exe (habe zwar Apple Produkte in Verwendung, allerdings gerade keines per USB angesteckt und wenn ich den Prozess beende kommt er auch sofort wieder)

companionuser.exe (ein Windows Live Dienst, der Prozess startet ein paar Minuten nach beenden erneut, ist das normal?)

iexplore.exe *32 (deswegen merkwürdig, da ich den Prozess 2 mal im Taskmanager habe obwohl nur ein Tab offen ist, meine kurze recherche hat auch etwas von Malware ergeben, leider keine konkreten Hinweise)

PresentationFontCache.exe (was soll das sein? Wenn ich den Prozess beende kommt er meistens wieder, manchmal aber auch nicht, komisch...)

SeaPort.EXE *32 (google Recherche sagt der Prozess kommt von Microsoft, hat irgendwas mit Bing zu tun, allerdings irritiert mich das EXE in caps ist, bei allen anderen Prozessen ist das ja nicht so)

12 mal svchost.exe (ich weiss, es ist normal dass der Prozess mehrmals gleichzeitig läuft, aber 12 mal ??)

TeamViewer_Service.exe *32 (Ich habe Teamviewer zwar installiert, allerdings gerade nicht geöffnet. Trotzdem taucht dieser Prozess 2 mal im Taskmanager auf und erscheint wieder, nachdem ich ihn beende. Schaut da jemand mit?)

WILDSVC.EXE und WILDSVCM.EXE (google recherche hat mir wenig gebracht, irritiert mich das alles in caps ist und nach dem Beenden sofort wieder auftaucht)

Das waren jetzt mal die Prozesse die mich etwas irritieren.
Gerade laufen nach Systemneustart 55 Prozesse (vor ein paar Sekunden waren es noch 59, 4 sind mysteriöserweise ohne Eingreifen meinerseits verschwunden) was doch irgendwie etwas viel ist oder nicht?

Hab mich schon paar mal mit den Prozessen rumgespielt und einige beendet und irgendwann hatte ich auch wieder normale FPS in Battlefield, allerdings habe ich keine Ahnung an welchem Prozess es genau lag. Hab versucht es zu rekonstruieren, leider vergeblich. Mittlerweile hab ich auch wieder schlechtere FPS und komme nicht drauf welcher Prozess dafür verantwortlich ist.

Was für Optionen habe ich jetzt um mein System zu säubern?

Klar, am effektivsten ist formatieren oder eine Systemwiederherstellung, allerdings habe ich auch viele Daten auf der Platte von denen ich kein Backup (sskm) auf einem sauberen System habe. Wenn ich jetzt einfach die ganzen Dateien die ich brauche auf USB Sticks kopiere laufe ich doch Gefahr mir selber die frisch formatierte Platte wieder mit Malware zu infizieren, oder nicht?

Was gibt es noch für Möglichkeiten?
Avira Antivir Personal ist up to date und hat bei einem vollem System Scan nichts gefunden.
Ich habe bei google nach Onlinevirenscannern gesucht und "Housecall" von Trendmicro ausprobiert, der hat allerdings auch nichts gefunden.

Danke schon mal an alle die den langen Text hier durchgehalten haben und mir versuchen zu helfen

Edit: Mein OS: Windows 7 64Bit

Netman · 11.05.2012, 14:15

Zitat:

Zitat von Athon

Hey WCMer!
Klar, am effektivsten ist formatieren oder eine Systemwiederherstellung, allerdings habe ich auch viele Daten auf der Platte von denen ich kein Backup (sskm) auf einem sauberen System habe.

auf C: sollt außer dem BS eigentlich nix sein, dafür gibt´s partitionen... somit geht das formatieren auch ratzfatz und du ersparst dir das alles...

schon mal spybot, ad-aware und HighjackThis durchlaufen lassen?

wirkt manchmal wunder

wenn das nicht hilft würd ich formatieren

links:
http://download.cnet.com/Ad-Aware-Fr...-10045910.html
http://www.zdnet.de/download/20372/s...ch-destroy.htm
http://www.chip.de/downloads/HijackThis_13011934.html

Athon · 11.05.2012, 15:29

Oh ok ich wusste nicht schädliche Software auf einer Partition "gefangen" ist und sich nicht auf andere Partitionen ausbreiten kann.
Dann spricht ja doch nicht so viel gegen das Formatieren.

HighJackThis hab ich durchlaufen lassen und das Protokoll automatisch auf www.hijackthis.de auswerten lassen. Da hat er bei ein paar Prozessen gesagt, dass sie nicht notwendig, aber auch nicht schädlich sind.

Malwarebytes Anti-Malware hat auch nach schädlicher Software gesucht und nichts gefunden.

Spybot und Ad-aware werde ich jetzt noch ausprobieren, danke für die Links!

Athon · 21.05.2012, 14:33

Hat etwas gedauert, aber hier ein kleines Update:

Spybot hat 2 mal Malware entdeckt und diese auch entfernt. Allerdings damit nicht das Problem behoben.
Ad-aware hat gar nichts gefunden.

Hab dann noch mit der Kaspersky Rescue Disc die Registry durchsuchen lassen, dabei wurde nichts gefunden. Der anschließende Virenscan (ebenfalls von der Kaspersky Rescue Disc) wurde nach etwa einer halben Stunde mit der Meldung "Von unbekannt abgebrochen" beendet. Nochmaliger Versuch ergab das gleiche Ergebnis...

Bleibt mir wohl nichts mehr anderes übrig als zu formatieren?

Christoph · 21.05.2012, 20:04

Wenn´s Dir nicht zu mühsam ist findest Du unter Rescue CDs Aufstellung eine Liste von Rettungs-CDs die Du versuchen könntest.

Noch was gefunden:
Norman Malware Cleaner, Avira AntiVir Rescue System, IObit Malware Fighter, weiter findest Du z.B. da: http://www.soft-ware.net/sicherheit/...ools/index.asp

Athon · 22.05.2012, 18:49

Danke für die Links Christoph!
Hast recht, ist sehr mühsam, aber ich muss diese Daten einfach retten. Das sind kreative Projekte mit einer Gesamtarbeitszeit von ~100 Stunden. Abgesehen von der investierten Zeit sind die wohl auch kaum alle zu 100% reproduzierbar. Bleibt mir also nicht viel über ausser alle Rescue Discs durchzuprobieren in der Hoffnung das irgendeine Hilft.
Naja, wenigstens hab ich gelernt wie unglaublich wichtig regelmäßige Sicherheitskopien sind

Hab es gerade mit der AVG Rescue Disc probiert, die hat auch 3 x Malware gefunden und ich hab die Dateien erfolgreich gelöscht, allerdings hat das die Probleme nicht behoben.
Die anderen Discs probier ich demnächst durch...

Hier mal kurz alle Symptome:
Starten von Windows dauert mehrere Minuten. Früher hab ich mein Passwort beim Anmeldebildschirm angegeben, innerhalb von 1 Sekunde wurde der Desktop angezeigt, innerhalb von 10 - 30 Sekunden waren alle Autostartprogramme geladen und Windows einsatzbereit. Jetzt dauert es alleine nach der Passworteingabe schon etwa 10 Sekunden bis der Desktop überhaupt angezeigt wird. Dann nochmal 3-4 Minuten bis Windows einsatzbereit ist.

Sobald ich den Internet Explorer öffne, erscheint 2 mal die iexplore.exe *32 im Taskmanager obwohl nur ein Tab offen ist. Eine iexplore.exe verbraucht nur 21.500K Arbeitsspeicher, das wird wohl das offene Tab sein. Die Andere verbraucht im Moment 58K Arbeitsspeicher, hab aber auch schon gesehen das es 180.000K und mehr waren. Der größere Prozess lässt sich nicht beenden, ich muss den iexplore Prozess beenden der dem offenen Tab zugewiesen ist und somit den Internet Explorer gewaltsam beenden, damit der größere Prozess verschwindet. Dieser Prozess ist auch definitiv an den Performanceproblemen bei BF3 verantwortlich, sobald ich den Prozess beendet habe passt nämlich auch die Performance wieder.

Hawi · 22.05.2012, 19:48

Die Daten sollten kein Problem sein. Die kannst du ja mit jeder Linux Live Edition sichern. Puppy Linux zB ist klein und läuft im Speicher. Es gibt auch jede Menge Rescue CDs auf Linux-Basis, die nach Viren und Malware im Windows-System scannen. Allerdings ist es wohl effizienter, Windows nach Sicherung der Daten neu aufzusetzen.

Ich installiere auf allen PCs, die ich in der Familie betreue, gleich ein Dualboot-System mit Ubuntu. Damit kann ich einerseits sofort feststellen, ob ein bestimmter Fehler durch die Hardware verursacht wird oder durch Windows, andrerseits kann ich aus Linux eine Daten-Rettungsaktion starten.

Christoph · 22.05.2012, 20:08

Was, nicht nur, ich immer wieder empfehle sind regelmäßige Backups/Images aller Partitionen auf ein externes Medium, im Ernstfall einfach zurückspeichern und gut ist´s; Freewareprogis gibt´s genug.
Aber leider wird das immer erst nach dem Ernstfall begonnen.

Sonst zuerst den Rat bzgl. Daten von Hawi befolgen und dann weiter testen.

Ich wünsch Dir jedenfalls gutes Gelingen!

Resimausi · 23.05.2012, 08:16

Von der "Systemwiederherstellung" war hier aber noch nicht die Rede - oder?

11.05.2012, 12:49	#1
Athon Master Registriert seit: 28.08.2003 Alter: 36 Beiträge: 628 Mein Computer	Bitte Hilfe, Malware :( Hey WCMer! Tut mir leid wegen des nichtssagenden Titels, allerdings ist mir absolut umbekannt um welche Malware es sich handelt. Beim spielen von BF3 habe ich festgestellt, dass von heute auf morgen die Leistung meines Rechners schwächer war da meine FPS stark gesunken sind. Also habe ich mal im Taskmanager die Prozesse beobachtet und da sind mir einige etwas komisch vorgekommen. Hier mal eine Liste derer, die ich für fragwürdig halte: AppleMobileDeviceService.exe (habe zwar Apple Produkte in Verwendung, allerdings gerade keines per USB angesteckt und wenn ich den Prozess beende kommt er auch sofort wieder) companionuser.exe (ein Windows Live Dienst, der Prozess startet ein paar Minuten nach beenden erneut, ist das normal?) iexplore.exe 32 (deswegen merkwürdig, da ich den Prozess 2 mal im Taskmanager habe obwohl nur ein Tab offen ist, meine kurze recherche hat auch etwas von Malware ergeben, leider keine konkreten Hinweise) PresentationFontCache.exe (was soll das sein? Wenn ich den Prozess beende kommt er meistens wieder, manchmal aber auch nicht, komisch...) SeaPort.EXE 32 (google Recherche sagt der Prozess kommt von Microsoft, hat irgendwas mit Bing zu tun, allerdings irritiert mich das EXE in caps ist, bei allen anderen Prozessen ist das ja nicht so) 12 mal svchost.exe (ich weiss, es ist normal dass der Prozess mehrmals gleichzeitig läuft, aber 12 mal ??) TeamViewer_Service.exe 32 (Ich habe Teamviewer zwar installiert, allerdings gerade nicht geöffnet. Trotzdem taucht dieser Prozess 2 mal im Taskmanager auf und erscheint wieder, nachdem ich ihn beende. Schaut da jemand mit?) WILDSVC.EXE und WILDSVCM.EXE (google recherche hat mir wenig gebracht, irritiert mich das alles in caps ist und nach dem Beenden sofort wieder auftaucht) Das waren jetzt mal die Prozesse die mich etwas irritieren. Gerade laufen nach Systemneustart 55 Prozesse (vor ein paar Sekunden waren es noch 59, 4 sind mysteriöserweise ohne Eingreifen meinerseits verschwunden) was doch irgendwie etwas viel ist oder nicht? Hab mich schon paar mal mit den Prozessen rumgespielt und einige beendet und irgendwann hatte ich auch wieder normale FPS in Battlefield, allerdings habe ich keine Ahnung an welchem Prozess es genau lag. Hab versucht es zu rekonstruieren, leider vergeblich. Mittlerweile hab ich auch wieder schlechtere FPS und komme nicht drauf welcher Prozess dafür verantwortlich ist. Was für Optionen habe ich jetzt um mein System zu säubern? Klar, am effektivsten ist formatieren oder eine Systemwiederherstellung, allerdings habe ich auch viele Daten auf der Platte von denen ich kein Backup (sskm) auf einem sauberen System habe. Wenn ich jetzt einfach die ganzen Dateien die ich brauche auf USB Sticks kopiere laufe ich doch Gefahr mir selber die frisch formatierte Platte wieder mit Malware zu infizieren, oder nicht? Was gibt es noch für Möglichkeiten? Avira Antivir Personal ist up to date und hat bei einem vollem System Scan nichts gefunden. Ich habe bei google nach Onlinevirenscannern gesucht und "Housecall" von Trendmicro ausprobiert, der hat allerdings auch nichts gefunden. Danke schon mal an alle die den langen Text hier durchgehalten haben und mir versuchen zu helfen Edit: Mein OS: Windows 7 64Bit Geändert von Athon (11.05.2012 um 12:59 Uhr).*

21.05.2012, 20:04	#5
Christoph Mod, bin gerne da Registriert seit: 09.11.1999 Ort: W, NÖ Alter: 74 Beiträge: 13.646	Wenn´s Dir nicht zu mühsam ist findest Du unter Rescue CDs Aufstellung eine Liste von Rettungs-CDs die Du versuchen könntest. Noch was gefunden: Norman Malware Cleaner, Avira AntiVir Rescue System, IObit Malware Fighter, weiter findest Du z.B. da: http://www.soft-ware.net/sicherheit/...ools/index.asp ____________________________________ Liebe Grüße Christoph Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen. (Heinrich Heine) Geändert von Christoph (21.05.2012 um 20:22 Uhr).

22.05.2012, 20:08	#8
Christoph Mod, bin gerne da Registriert seit: 09.11.1999 Ort: W, NÖ Alter: 74 Beiträge: 13.646	Was, nicht nur, ich immer wieder empfehle sind regelmäßige Backups/Images aller Partitionen auf ein externes Medium, im Ernstfall einfach zurückspeichern und gut ist´s; Freewareprogis gibt´s genug. Aber leider wird das immer erst nach dem Ernstfall begonnen. Sonst zuerst den Rat bzgl. Daten von Hawi befolgen und dann weiter testen. Ich wünsch Dir jedenfalls gutes Gelingen! ____________________________________ Liebe Grüße Christoph Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen. (Heinrich Heine) Geändert von Christoph (22.05.2012 um 21:42 Uhr).

23.05.2012, 08:16	#9
Resimausi Hero Registriert seit: 10.09.2000 Alter: 63 Beiträge: 882	Von der "Systemwiederherstellung" war hier aber noch nicht die Rede - oder? ____________________________________ Die Menschen stolpern nicht über Berge, sondern über Maulwurfshügel

11.05.2012, 15:29	#3
Athon Master Registriert seit: 28.08.2003 Alter: 36 Beiträge: 628 Mein Computer	Oh ok ich wusste nicht schädliche Software auf einer Partition "gefangen" ist und sich nicht auf andere Partitionen ausbreiten kann. Dann spricht ja doch nicht so viel gegen das Formatieren. HighJackThis hab ich durchlaufen lassen und das Protokoll automatisch auf www.hijackthis.de auswerten lassen. Da hat er bei ein paar Prozessen gesagt, dass sie nicht notwendig, aber auch nicht schädlich sind. Malwarebytes Anti-Malware hat auch nach schädlicher Software gesucht und nichts gefunden. Spybot und Ad-aware werde ich jetzt noch ausprobieren, danke für die Links!

21.05.2012, 14:33	#4
Athon Master Registriert seit: 28.08.2003 Alter: 36 Beiträge: 628 Mein Computer	Hat etwas gedauert, aber hier ein kleines Update: Spybot hat 2 mal Malware entdeckt und diese auch entfernt. Allerdings damit nicht das Problem behoben. Ad-aware hat gar nichts gefunden. Hab dann noch mit der Kaspersky Rescue Disc die Registry durchsuchen lassen, dabei wurde nichts gefunden. Der anschließende Virenscan (ebenfalls von der Kaspersky Rescue Disc) wurde nach etwa einer halben Stunde mit der Meldung "Von unbekannt abgebrochen" beendet. Nochmaliger Versuch ergab das gleiche Ergebnis... Bleibt mir wohl nichts mehr anderes übrig als zu formatieren?

22.05.2012, 18:49	#6
Athon Master Registriert seit: 28.08.2003 Alter: 36 Beiträge: 628 Mein Computer	Danke für die Links Christoph! Hast recht, ist sehr mühsam, aber ich muss diese Daten einfach retten. Das sind kreative Projekte mit einer Gesamtarbeitszeit von ~100 Stunden. Abgesehen von der investierten Zeit sind die wohl auch kaum alle zu 100% reproduzierbar. Bleibt mir also nicht viel über ausser alle Rescue Discs durchzuprobieren in der Hoffnung das irgendeine Hilft. Naja, wenigstens hab ich gelernt wie unglaublich wichtig regelmäßige Sicherheitskopien sind Hab es gerade mit der AVG Rescue Disc probiert, die hat auch 3 x Malware gefunden und ich hab die Dateien erfolgreich gelöscht, allerdings hat das die Probleme nicht behoben. Die anderen Discs probier ich demnächst durch... Hier mal kurz alle Symptome: Starten von Windows dauert mehrere Minuten. Früher hab ich mein Passwort beim Anmeldebildschirm angegeben, innerhalb von 1 Sekunde wurde der Desktop angezeigt, innerhalb von 10 - 30 Sekunden waren alle Autostartprogramme geladen und Windows einsatzbereit. Jetzt dauert es alleine nach der Passworteingabe schon etwa 10 Sekunden bis der Desktop überhaupt angezeigt wird. Dann nochmal 3-4 Minuten bis Windows einsatzbereit ist. Sobald ich den Internet Explorer öffne, erscheint 2 mal die iexplore.exe *32 im Taskmanager obwohl nur ein Tab offen ist. Eine iexplore.exe verbraucht nur 21.500K Arbeitsspeicher, das wird wohl das offene Tab sein. Die Andere verbraucht im Moment 58K Arbeitsspeicher, hab aber auch schon gesehen das es 180.000K und mehr waren. Der größere Prozess lässt sich nicht beenden, ich muss den iexplore Prozess beenden der dem offenen Tab zugewiesen ist und somit den Internet Explorer gewaltsam beenden, damit der größere Prozess verschwindet. Dieser Prozess ist auch definitiv an den Performanceproblemen bei BF3 verantwortlich, sobald ich den Prozess beendet habe passt nämlich auch die Performance wieder.

22.05.2012, 19:48	#7
Hawi Inventar Registriert seit: 23.12.2001 Beiträge: 2.969	Die Daten sollten kein Problem sein. Die kannst du ja mit jeder Linux Live Edition sichern. Puppy Linux zB ist klein und läuft im Speicher. Es gibt auch jede Menge Rescue CDs auf Linux-Basis, die nach Viren und Malware im Windows-System scannen. Allerdings ist es wohl effizienter, Windows nach Sicherung der Daten neu aufzusetzen. Ich installiere auf allen PCs, die ich in der Familie betreue, gleich ein Dualboot-System mit Ubuntu. Damit kann ich einerseits sofort feststellen, ob ein bestimmter Fehler durch die Hardware verursacht wird oder durch Windows, andrerseits kann ich aus Linux eine Daten-Rettungsaktion starten.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)