verschiedene Prozesse im Task.Manager die verdächtig sind...könnt ihr mir helfen?

hallo!


ich hab seit einiger Zeit den Verdacht, dass sich einige Viren auf dem PC befinden.

Einen weiß ich schon:
svchost.exe

Diesen gibt es jetzt2 mal:
SVCHOST.EXE
svchost.exe

welcher der beidenist ein Virus?

gibt es eine Möglichkeit, wie ich die verschiedenen Prozesse kopieren und hier reinstellen kann, damit ihr mal gucken könnt?

Vielen DAnk

windowsmayo

 

so hab es gemacht

 

Mit den svchost.exe ist bei dir alles in Ordnung.
http://support.microsoft.com/kb/314056/de

Aber die Datei mal bei www.virustotal.com/de überprüfen lassen:
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe

 

@Deoroller
auch dass es die 2*mal gitb:
mit groß und mit klein Buchstaben???

bei virustotal kommt raus:

Die Datei wurde bereits analysiert:MD5: 3f56e9e6f01d014a70718f3986566481
First received: -
Datum 2009.02.08 10:49:05 (CET) [>25D]
Ergebnisse 0/38
Permalink: analisis/6d8f3baa3720c1bb22e774f841b448a9

 

Hallo windowsmayo

Keiner deiner svchost.exe's ist ein Virus. Ich habe sogar 4 davon im Taskmanager.

Gruß
Nevok

 

achso okay vielen Dank

ich hab bei Malwarebytes auf den Quick-Scan geschaltet

EDIT: achso mir ist etwas neues im Autostart aufgefallen:
IgfxTray.exe
als erstes dachte ich, dass das ein programm wäre und hab mal gegoogelt, aber da steht dass es ein Virus sein könnte

 

Trotzdem mal den Full Scan machen.

O10 - Unknown file in Winsock LSP: c:\windows\system32\ciphire-lsp.dll
könnte von ciphire: Kostenlose PGP-Alternative sein. Ist das installiert?

Wovon könnte denn appdrvrem01.exe sein? Was steht denn in den Dateieigenschaften?
(Rechtsklick auf die Datei -> Eigenschaften)

 

also erstmal.

quick scan:

 

ok mache jetzt full scan auf allen möglichen Laufwerken

also ich hatte mal Cliphire installiert.
Das ist sowas für emails.
das hat aber immer gestreikt deswegen wollte ich deinstallieren, aber danach ging das internet nicht mehr.
Deswegen habe ich eine Systemwiederherstellung gemacht und seitdem schlummert es so herum.
ich weiß nicht ob das was mit ciphire zu tun installiert habe ich zumindest (bewusst) nicht

 

unter Dateieigenschaften steht

es ist knapp 300 KB groß

es ist copyright bei:

 

Dann deaktiviere ihn mal. Du kannst ihn wieder aktivieren, sollte er gebraucht werden.

Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt

Application Driver Auto Removal Service

aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Application Driver Auto Removal Service" beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Application Driver Auto Removal Service" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

O10 - Unknown file in Winsock LSP: c:\windows\system32\ciphire-lsp.dll Einträge entfernen:
http://virus-protect.org/lspfix.html

 

gut Application Driver Auto... war schon beendet, aber ich habe trotzdem noch mal den Starttyp beendet,

Das mit dem ciphire kapier ich nicht.
Ich komme mit der Anleitung irgendwie nicht klar...kannst du mir vllt. helfen?

vielen dank
windowsmayo

 

GUT
während ich so mit malwarebytes das system checke, hat avast gleich einen virus und einen trojaner gefunden, oder jedenfalls angezeigt ich hab die erstmal in den container verschoben

was soll ich jetzt tun

P.S. ich poste gleich noch was avast zu denen schreibt

ok hatte davor schon welche im container, poste sie mal alle:

A0083366.exe (avast hat folgendes dazu geschrieben: Win32:Trojan-gen {Other})
A0086768.exe (Win32: Adware-gen [Adw])
E0A5D54Dd01.exe (Win32: Trojan-gen {Other})
ICQ Status Checker.exe (Win32: Icqpass [Tool])
irj8jikg.exe (Win32: Trojan-gen {Other})
MeinPONSline.exe (Win32: Adware-gen [Adw])

 

Die ersten drei sind wohl in der Systemwiederherstellung. Systemwiederherstellung deaktivieren und weg sind sie.
Wieso muss ich raten, wo die Dateien gespeichert sind?

Den Rest kann man über Google rausfinden.

 

malwarebyte bericht für alle Laufwerke außer C://
(kommt gleich)

 

aber wenn ich die Systemwiederherstellung deaktivier und z.B. das Internet ist futsch von z.b. cliphire könnte das doch ganz schön doof werden

2. sorry ich dachte dass man die nicht unbedingt braucht, muss nämlich alles abtippen...kommt gleich

also die Reihenfolge bleibt gleich:

1. D:\System Volume Information\_restore-{F201-DFE1-E5B9-4F73-B4B7-C448DA7EA87}-RP140
2. D:\System Volume Information\_restore-{F201-DFE1-E5B9-4F73-B4B7-C448DA7EA87}-RP153
3. D:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\
Profiles\rngs93wp.default\Cache
4. D:\Download
5. C:\DOKUME~1\Benutzername\LOKALE~1\Temp
6. D.\Download

 

Dann schaltest du die Systemwiederherstellung wieder ein und es wird automatisch ein Systemwiederherstellungspunkt erstellt.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Taskmanager kannst du wieder aktivieren.
http://mshelper.de/commsols.html#x
Der Task-Manager wurde durch den Administrator deaktiviert. Version 1.0
Anwendbar für alle Windows XP, Windows Vista und Windows Server Systeme
Dann musst du Malwarebytes' nicht nochmal laufen lassen.

Das zweite ist nicht so wichtig.
http://www.talkteria.de/forum/topic-46624.html

 

komisch irgendwie
gestern habe ich noch auf den Taskmanager zugreifen können.
nach der überprüfung nicht mehr

ok mach mal was du gepostet hast