epilog 10 Geschrieben 13. Oktober 2011 Melden Teilen Geschrieben 13. Oktober 2011 Hallo zusammen, ich habe ein Problem mit einem Prozess, der im Hintergrund läuft und kann über keine Tools und Eingabe Prompt Befehlen - wie taskkill und andere Befehlen gelöscht werden oder beendet werden. Über Taskill mit den Parameter /F ist der Prozess als Erfolgreich beendet worden - angezeigt, aber ist leider in Taskmanger aktiv und nach einem Neustart des Systems wird er einer neuen PID zugordnet, sodaß der Prozess in einer Schleife eine neue PID generiert bekommt. Wie kann man dieser Prozess löschen und außerdem handelt sich dabei um Trojaner, da dieser Prozess den Antvirenschutz auch beeinträchtigt hat. Es geht um einen Prozess mit einer Zeichenkette von Zahlen wie 76578xxx52.exe ( so ähnlich ) den genauen Syntax weiße ich im Moment nicht. Kann jemand mir helfen, ohn eine Neuinstalltion anzusteuern, da auf dem System viele Daten vorhanden sind. Gruß - epilog Zitieren Link zu diesem Kommentar
kamikatze 84 Geschrieben 13. Oktober 2011 Melden Teilen Geschrieben 13. Oktober 2011 da meine Glaskugel gerade in der Werkstatt ist, stelle ich hier mal ein paar Fragen: - um was für ein System handelt es sich? (OS etc) - welche Programme laufen auf dem System? - hast Du schon nach der GENAUEN Zeichenfolge gegoogelt? - verhält sich das System anders als sonst? - wieviel Speicher und CPU nimmt sich der Prozess? - hast Du mal einen Offlinescan durchgeführt? Gruss Markus Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 13. Oktober 2011 Melden Teilen Geschrieben 13. Oktober 2011 außerdem handelt sich dabei um Trojaner, da dieser Prozess den Antvirenschutz auch beeinträchtigt hat. Woher willst du wissen dass es ein trojaner ist? Hat der Virenscanner angeschlagen? Es geht um einen Prozess mit einer Zeichenkette von Zahlen wie 76578xxx52.exe ( so ähnlich ) den genauen Syntax weiße ich im Moment nicht. Dann finde ihn raus! Kann jemand mir helfen, ohn eine Neuinstalltion anzusteuern, da auf dem System viele Daten vorhanden sind. Ich hoffe mal dass du ein Backup der Daten hast (kein Image auf dem der potentielle Trojaner schon mitgesichert wurde) denn ein befallenes System wird nie mehr sicher sauber zu bekommen sein. Bootmedium rein, Festplatte formatieren, neu installieren. Alles andere ist Bastelkram. Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 14. Oktober 2011 Melden Teilen Geschrieben 14. Oktober 2011 Ein weiterer Versuch wäre, das System mit einem bootbaren Medium mit integrierten Virenscanner zu untersuchen. Ich empfehle hierzu "desinfec't" von der Fachzeitschrift c't. Derzeit gibt es gerade seit Montag ein neues Sonderheft "Hardware und Diagnose". Auf der Heft-CT ist ein desinfec't bootfähig vorhanden. Das Heft gibt es seit Montag am Kiosk, kann aber auch über Heise online bestellt werden. Siehe Link: c't spezial: Hardware Unterbau ist ein Ubuntu-Linux. Im Scanvorgang wird die Festplatte nur mit Leserechten gemountet, d.h., es wird am System nichts verändert. Erst, wenn etwas gefunden wurde, erfolgt im Report eine detaillierte Auflistung der Funde. Hier mit Vorsicht und Fingerspitzengefühl rangehen, die Festplatte mit Schreibrechten mounten, und die identifizierten Schädlinge umbenennen nach dem Schema <alter_Dateiname>.exe.<virus> Das hat dann den Vorteil, dass ggf. doch erwünschte Software nicht gelöscht oder in Quarantäne verschoben wird, Autostarteinträge aber trotzdem ins Leere laufen, da die aufgerufene Datei nicht mehr vom Namen her aufgerufen werden kann. Damit habe ich so manchen PC wieder fit bekommen. Aber: Bei geschäftskritischen Rechnern rate ich explizit zur Brutalmethode Neuinstallation. Die Gefahr, evtl. etwas zu übersehen, ist hier einfach zu groß. Einen Versuch ist es zumindest aber mal wert... Zitieren Link zu diesem Kommentar
varnik 10 Geschrieben 14. Oktober 2011 Melden Teilen Geschrieben 14. Oktober 2011 (bearbeitet) Hallo epilog, versuche deinen Rechner mit TDSSkiller zu überprüfen. Höchswahrscheinlich hast du einen Rootkit, der aus einem NTFS-Thread startet. Hast du im Taskmanager einen Prozess 76578xxx52:76578xxx52.exe ? bearbeitet 14. Oktober 2011 von varnik Zitieren Link zu diesem Kommentar
Senator 11 Geschrieben 14. Oktober 2011 Melden Teilen Geschrieben 14. Oktober 2011 Hallo versuch mal den Systemsweeper von Microsoft: Microsoft Standalone System Sweeper Beta | Microsoft Connect ist zwar noch eine Beta läuft aber sehr gut. Vorteile: 1. Erstellt dir direkt ein ISO oder USB-Stick (Bootfähig) 2. Die USB Version lässt sich übers Internet aktualisieren. 3. Findet auch Schadsoftware die von Antivir nicht erkannt wird (War jedenfalls gestern noch so). mit freundlichen Grüßen Senator Zitieren Link zu diesem Kommentar
epilog 10 Geschrieben 14. Oktober 2011 Autor Melden Teilen Geschrieben 14. Oktober 2011 Hallo zusammen, vielen Dank für die zahlreiche gute praktische Tipps. Den Prozess habe ich jetzt über Taskmanager und über tasklist ebenso herausgefunden, wie varnik es in dem Beitrag benannt hatte und lautet "76578xxx52:76578xxx52.exe". Warum es als Trojaner gemeldet wurde, weil der McAfee Virenschutz zunächst regelmäßig als Trojaner erkannt hat und danach entfernt hat. Immer weiter wurde weitere Trojaner gefunden und der Prozess lief nach wie vor im Hintergrund. Irgendwann wurde auch Mcaffe auch dekativiert und konnte keine Virensignatur aktualisieren bzw. einen Ordner bzw. welche Dateien über McAfee scannen. Eine Neuinstallation und Deinstallation von McAfee ist auch nicht möglich, da bei der Deinstallation sofort eine Fehlermeldung der Deinstallationsroutine angezeigt wird. Natürlich werde ich Euren Tipps weiterhin und weitesgehend testen und versuche den Prozess beendet zu bekommen und danach eine ordentliche McAfee Installation ansteuern, hoffentlich habe ich damit Erfolg. Vielleicht hat jemand eine weitere Idee anhand der aktuellen Informationen. Ansonsten werde ich das System neuinstallieren müssen. Vielen Dank. epilog Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.