Supportnet / Forum / Security/Viren
Eventueller Virenbefall - Brauche Hilfe bei der Identifizierung
Frage
Ich habe seit zwei Tagen ein Problem, das ich einfach nicht identifizieren, geschweige denn lösen kann.
Hier ist der Ablauf:
- Netzeinwahl
- Firewall meldet sofort Zugriffsversuche einer AliceDSL IP auf svchost.exe
- wenn geblockt, wiederholen sich die Zugriffe endlos, etwa viermal pro Minute, immer unterschiedliche IPs, allerdings immer AliceDSL
- wenn zugelassen, startet eine weitere Instanz der svchost.exe, welche die CPU zu 100% auslastet und sich nur durch Neustart beenden lässt
- svchost startet die tftp.exe, welche weitere exe-Dateien mit zufälligen Namen herunterlädt
- die neuen Dateien machen entweder gar nichts, oder starten sich automatisch und geben sich den üblichen RUN-Eintrag in der Registry
Das alles klingt offensichtlich nach Verseuchung, das Problem ist nur, dass weder AntiVir, noch NOD32 irgendwas gefunden haben. Selbst die zusätzlich heruntergeladenen Dateien werden als sauber eingestuft. Ist es möglich, dass es sich hierbei um irgendeine perverse Update-Maßnahme von Alice handelt? Ich selbst bin bei AOL, die ja bekanntlich von Alice aufgekauft wurden. Anrufe bei beiden Hotlines ergaben buchstäblich nichts.
Ich bin ratlos und für absolut jede Hilfe dankbar.
Infos:
OS: Windows XP Home SP1 (ich hatte massive Probleme mit SP2)
Firewall: Kerio Personal
AV: AntiVir PE/NOD32
Provider: AOL (keinerlei AOL Software installiert)
Antwort 1 von greg68
Versuche noch folgende Programme:
hijackthis, Auswertung Online
Spybot SD
adaware.
-aktualisieren
-im abgesicherten Modus scannen
Ansonsten die .exe-dateinamen mal bei Google eingeben, egibt oft brauchbare Infos.
Gruss
hijackthis, Auswertung Online
Spybot SD
adaware.
-aktualisieren
-im abgesicherten Modus scannen
Ansonsten die .exe-dateinamen mal bei Google eingeben, egibt oft brauchbare Infos.
Gruss
Antwort 2 von VaultBoy
HJT ergab "leider" nur einen, als nasty gekennzeichneten Registry-Eintrag und der war mir bereits bekannt. AdAware fand ebenfalls nichts, allerdings teste ich mal, ob Spybot was entdeckt.
Auf jeden Fall erstmal Danke.
Auf jeden Fall erstmal Danke.
Antwort 3 von greg68
Dann solltest Du den Eintrag "fixen" (heißt so!), geht mit HJT.
Antwort 4 von Galahad
Hi,
überprüfe die Dateien noch mit einem Onlinescanner
wie virustotal.com oder virusscan.jotti.org/de
dort werden sie dann von mehreren Scannern durchsucht.
Du kannst auch einige Datein über die Homepage von Avira
zur Überprüfung einsenden.
Viel Glück
Galahad
überprüfe die Dateien noch mit einem Onlinescanner
wie virustotal.com oder virusscan.jotti.org/de
dort werden sie dann von mehreren Scannern durchsucht.
Du kannst auch einige Datein über die Homepage von Avira
zur Überprüfung einsenden.
Viel Glück
Galahad
Antwort 5 von moktar
Vielleicht hilft ja ein Online-Virenscan, hat bei mir schon öfters geholfen, sacnt den ganzen Rechner
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
Funktionier aber nur mit dem IE
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
Funktionier aber nur mit dem IE
Antwort 6 von VaultBoy
Hab' nun einige Onlinescanner durchprobiert, ohne dass eine Infektion festgestellt wurde.
Ich schätze, mir bleibt wirklich nichts anderes übrig, als die Platte zu formatieren.
Ich schätze, mir bleibt wirklich nichts anderes übrig, als die Platte zu formatieren.
Antwort 7 von Galahad
Versuchs mit der Systemwiederherstellung.
MfG
Galahad
MfG
Galahad