Merkwürdiges Verhalten von Win XP

Während einer Internetsession ging heute plötzlich nichts mehr. Der Rechner (Athlon 3200) war plötzlich ausgelastet und öffnete 12...15 Taskmanager gleichzeitig. Zusätzlich auch noch ca. 10 Kopien einer "svchost.exe". Nachdem ich die taskmgrs geschlossen hatte, war die Welt scheinbar wieder in Ordnung. Meinem Virenshield (AVPP) ist bei der Sache nichts aufgefallen, auch ein anschließend durchgeführter Virenscan verlief negativ. Mir hingegen kam das sehr verdächtig vor. Weiß jemand, was das gewesen sein kann?

Grüsse Stefan

 

hast nicht zufällig weil das System ausgelastet war mehrmals Strg+Alt+entf gedrückt?

genau der Name oder war vielleicht ein Buchstabe mehr drinnen?

Hattest du irgendwann schon mal das Gefühl das "etwas" nicht richtig läuft?

edit: Poro hat vorgegriffen... ein Hijackthis log wäre sinnvoll

 

Einfach so? Von alleine?
http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

Und gleich noch ne Runde http://www.f-secure.de/blacklight

Sollte es sich um einen Einzelfall handel,..... ne ausgeflippte Tastatur?

 

ich habe leider keine Ahnung, was das gewesen ist. Auf jeden Fall ist es bislang nicht wieder vorgekommen. Strg+Alt+Del habe ich natürlich gedrückt, um den Taskmanager zu öffnen. Allerdings ist das OS normalerweise schlau genug, um nicht mehrere Instanzen davon zuzulassen. "svchost.exe" ist die korrekte Schreibweise. Den Hänger hat etwas anderes verursacht. Na ja, erst noch einmal abwarten und Tee trinken....


Stefan

 

Wo steht das?

 

und das:
http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

 

....hijack this ist laut Beschreibung ein Tool für den IE. Nach dem derzeitigen Stand meines (lückenhaften) Wissens für mich als Firefox-Surfer nicht hilfreich.

 

HijackThis wurde ursprünglich(das war so vor vielen Jahren) entwickelt um sogenannte Browser Hijacker(die damals nur den IE befielen) zu entdecken und auszuknipsen.
Irgendwann entwickelte sich das Tool als ganz hilfreich um aktive Trojaner und Co. auf einem Rechner zu entdecken, da HijackThis seit einer Ewigkeit nicht mehr weiter entwickelt wurde(im gegensatz zu den Trojanern und Co) ist eine Erkennungsrate von aktuellen Schädlingen bei ca. 0 (soviel mal zu dem ständigen anfordern eines Logfiles von HJT, von der teils sehr stümperhaften Auswertung ganz zu schweigen).

 

Es ist schon klar, dass damit die ganz pösen Sachen nicht gefunden werden, aber solange die PCs mit einfacheren Mitteln gekapert werden, ist HJT immer noch brauchbar.

 

@ toby: ich schliess mich jetz mal x-man an... wer so was von sich gibt, muss eine Alternative bieten können, bzw sich auch mal bei den stümperhaften Aussagen blicken lassen und zeigen dass er nicht nur gross redet- deswegen auch von mir ein herzliches


warum glaubst du, dass wir u. a. auch auf andere Mittel verweisen- á la spybot, ad-aware und Antivirenproggis
und auch sagen dass Neuaufsetzen die beste Lösung ist nach einem Befall

wir versuchen wenigstens zu helfen wo andere nur blöd reden

 

Wußte garnicht das ich was von mir gegeben habe, ich habe eigentlich nur erklärt was HJT ursprünglich war und zu was man das Tool ne zeitlang nutzen konnte(scheint aber so das sich da ein paar persönlich angegriffen fühlen wenn man ihr spielzeug kritisiert).
Ebenso ist mir neu das man Alternativen angeben muß, ich dachte immer das hier wäre ein freies Forum ohne Postzwang.

Aber mal so nebenbei eine Frage an den TO,
@ stefan m, hast du zufällig automatisches Windows-Update aktiviert?

Achso die Alternativen um mal zu gucken was alles so mitläuft bzw. mitgeladen wird beim Rechnerstart:
z.b. Sysinternals - Autoruns
oder z.b. Process Viewer usw......, man könnte auch mal auf ein externes Virenproggie verweisen wie z.b. e-scan(ein link zu einer anleitung zu dem Proggie wird auf wunsch nachgeliefert) usw..............

 

Sysinternals ist zu MS umgezogen http://www.microsoft.com/germany/technet/sysinternals/utilities/Autoruns.mspx
Die Ultimate Boot CD setze ich selbst ein. Die ist mit einer Menge Scanner bestückt, die sich online aktualisieren lassen.
Das Problem dass ich bei den Alternativen sehe ist, dass sie von Anfängern kaum in der kürze der Zeit zu erlernen sind.
Da ist HJT einfach in der Handhabung.
Wenn ich einen fremden PC auf Vorderman bringen will, boote ich ihn zuerst mit der Ultimate Boot CD und gucke mir die Sachen von Außen an.

Autoruns ist erst eine schnelle Hilfe, wenn man regelmäßig ein Log-File abspeichert und die miteinander vergleichen lässt (Compare Funktion).
Wenn du keine Vergleichsmöglichkeit hast, ist es schwierig, die Nadel im Heuhaufen zu finden.

 

HJT erkennt keine Rootkits und das hat der Autor auch nicht behauptet.
Streng genommen müsste man zuerst sicherstellen, das keine Rootkits vorhanden sind dann erst Mit HJT scannen. Das gilt auch für den Einsatz von AV-Software.
Nur wer lässt den PC regelmäßig vor dem Hochfahren von Windows mit einer CD booten und ihn ausgiebig scannen?
Und wer vergleicht Prüfsummen neuer Software mit dem Original, bevor sie installiert wird?
Das ist für die meisten Anwender nicht zumutbar.

 

So, aufgeräumt. Wenn der TO noch will, dürft ihr weitermachen.

 

Wie ich feststellen musste, habe ich wahrscheinlich wirklich einen Trojaner im System. Die Protokolle meines AVPP ergeben das eindeutig. Warum mir das aber nirgends angezeigt wurde ist mir schleierhaft, denn das hätte angemeckert werden müssen! Mal sehen.....


Stefan

 

hätte nicht... nicht alles wird angemeckert

wie schauts aus... mit >>Hijackthis<<

jedoch wenn du wirklich einen Trojaner hast (wobei interessant wäre welcher und wo...) :

Ergo NEUAUFSETZEN

Und jetzt noch was zum lesen und abarbeiten:
1 >>Gandalf<<
2 >>PFW<<

 

Neuaufsetzen, das wird schwierig. Das ist ein vorinstallierter Marken-PC, ohne mitgelieferte Datenträger. Mit diesem angeblichen Trojaner habe ich so mein Problem: Er sitzt angeblich in der Setuproutine meines Officepakets (office 1), also in einem Programm, das kaum jemals gestartet wird.....

 

Dann lässt sich meistens ein Datenträger herstellen.
Was steht denn dazu im Handbuch oder auf der Homepage des Herstellers?