Problem beim Runterfahren - Paules-PC-Forum.de

colaautomat02 · 01.11.2011, 22:17

Hallo,

ich habe seit heute folgendes Problem:

Wenn ich den PC runterfahren will, kommt folgende Fehlermeldung:

Klicke ich diese weg, kommt sie immer und immer wieder!
Der PC fährt also nicht runter.

Dann habe ich mal den Taskmanager geöffnet und war erschrocken als ich dies sah:

Über 700 mal dieses Svhost geöffnet!

Weiß einer um Rat und worum es sich handelt?

MfG
MrCola

**AHT** · 01.11.2011, 22:29

Da läuft scheinbar ein Backdoor auf deinem Rechner.
Keine Einkäufe tätigen, kein OnlineBanking machen.
Das hier tun - während des Scans den Rechner vom Internet trennen, Browser aber laufen lassen:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
Auf Nachfrage Dateien überschreiben lassen.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

**AHT** · 01.11.2011, 22:39

Mit dem Rechner möglichst wenig ins Netz gehen. So was lädt sich laufend neue Malware nach. Wir fixen den Rechner morgen weiter.

colaautomat02 · 02.11.2011, 08:58

**AHT** · 02.11.2011, 10:28

OK, hab den Starter.

Mache folgendes:

In den abgesicherten Modus herunterfahren (F8 Taste beim Booten).
Loge dich dort in deinen Account ein.
PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPF_Sicherung
CREATE_FOLDER->C:\PPF_SCAN2
REGISTRY_DELETE_VALUE->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
->rundll32
MOVE_FILE->C:\Users\Patrick\AppData\Local\Temp\rundll32 .exe>C:\PPF_Sicherung\rundll32 .exe
COPY_SCANFILES->C:\PPF_SCAN2
MOVE_FILE->C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rundll32 .exe>C:\PPF_Sicherung\rundll32 _1.exe
REBOOT->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Wenn eine Messagebox kommt, Script nicht abbrechen lassen.
Hat alles geklappt, startet sich der Rechner neu - starte den Rechner dann normal.
Es befinden sich danach im Ordner C:\PPF_Scan2 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
Es geht dann sofort weiter.

Der Rechner startet

**AHT** · 02.11.2011, 10:35

Hab noch was vergessen, musste das Script oben noch mal ändern.
Jetzt kannst du loslegen.

colaautomat02 · 02.11.2011, 11:06

So,habe es mal gemacht:

File-Upload.net - Scripting.txt

**AHT** · 02.11.2011, 11:10

Tasmanager einmal starten und nachsehen, ob du noch die SVCHOST Prozesse mit der Beschreibung Visual Basic Command Line Compiler finden kannst.
screenshot machen.

colaautomat02 · 02.11.2011, 11:20

So, habe ein Screen von dem Taskmanager gemacht:

**AHT** · 02.11.2011, 11:24

Sieht schon gut aus, es gibt aber noch mehr Arbeit.
Mache folgendes:

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

SEND_MESSAGE->188.118.142.87
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FOLDER->188.118.142.87
->81
->C:\PPF_Sicherung
SLEEP->240000
END->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Der Scanner wird versuchen, sich mit dem Internet zu verbinden. Fragt deine Firewall nach, erlaube dem Scanner den Internetzugriff.
Warte, bis der Scanner sich selbst beendet oder ich mich melde. Beende den Scanner nicht.

colaautomat02 · 02.11.2011, 11:33

Habe es ausgeführt und der Scanner hat sich von selber geschlossen.

**AHT** · 02.11.2011, 11:34

Hat geklappt, PPFScanner jetzt schließen.

Malwarebytes installieren.
Update ausführen.
Ein kompletter Scan, alle Funde löschen und den Report wieder als Textdatei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen den Downloadlink in Deinem Thread posten.
Führe anschließend einen System Neustart durch!

colaautomat02 · 02.11.2011, 11:36

Ok

Malwarebytes habe ich schon drauf und werde diesen nun durchlaufen lassen.

Ich melde mich, sobald alles fertig ist.

**AHT** · 02.11.2011, 11:37

Habe ich gesehen. Updaten nicht vergessen!

**AHT** · 02.11.2011, 11:45

Danach:

ESET Online Scanner installieren
komplett scannen lassen
alle Funde löschen
LOG hochladen.

01.11.2011, 22:17	#1 (Direktlink)
colaautomat02 Stammuser Registriert seit: 14.09.2005 Ort: Bochum Alter: 24 Beiträge: 385	Problem beim Runterfahren Hallo, ich habe seit heute folgendes Problem: Wenn ich den PC runterfahren will, kommt folgende Fehlermeldung: Klicke ich diese weg, kommt sie immer und immer wieder! Der PC fährt also nicht runter. Dann habe ich mal den Taskmanager geöffnet und war erschrocken als ich dies sah: Über 700 mal dieses Svhost geöffnet! Weiß einer um Rat und worum es sich handelt? MfG MrCola __________________ Computer sind grossartig. Mit ihnen macht man die Fehler viel schneller.

01.11.2011, 22:29	#2 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Da läuft scheinbar ein Backdoor auf deinem Rechner. Keine Einkäufe tätigen, kein OnlineBanking machen. Das hier tun - während des Scans den Rechner vom Internet trennen, Browser aber laufen lassen: Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa. Auf Nachfrage Dateien überschreiben lassen. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

01.11.2011, 22:39	#3 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Mit dem Rechner möglichst wenig ins Netz gehen. So was lädt sich laufend neue Malware nach. Wir fixen den Rechner morgen weiter. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

02.11.2011, 08:58	#4 (Direktlink)
colaautomat02 Stammuser Registriert seit: 14.09.2005 Ort: Bochum Alter: 24 Beiträge: 385	Guten Morgen! Habe den Scan gemacht und hier sind die Links der Textdatein: File-Upload.net - Drivers.txt File-Upload.net - Eventlog.txt File-Upload.net - Files.txt File-Upload.net - Firewall.txt File-Upload.net - Hidden.txt File-Upload.net - MD5.txt File-Upload.net - Modules.txt File-Upload.net - ppFiles.txt File-Upload.net - ppRegistry.txt File-Upload.net - Processes.txt File-Upload.net - Scripting.txt File-Upload.net - Services.txt File-Upload.net - Threads.txt File-Upload.net - Warnings.txt Ich sage schonmal danke im vorraus. __________________ Computer sind grossartig. Mit ihnen macht man die Fehler viel schneller.

02.11.2011, 10:28	#5 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	OK, hab den Starter. Mache folgendes: In den abgesicherten Modus herunterfahren (F8 Taste beim Booten). Loge dich dort in deinen Account ein. PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: CREATE_FOLDER->C:\PPF_Sicherung CREATE_FOLDER->C:\PPF_SCAN2 REGISTRY_DELETE_VALUE->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ->rundll32 MOVE_FILE->C:\Users\Patrick\AppData\Local\Temp\rundll32 .exe>C:\PPF_Sicherung\rundll32 .exe COPY_SCANFILES->C:\PPF_SCAN2 MOVE_FILE->C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rundll32 .exe>C:\PPF_Sicherung\rundll32 _1.exe REBOOT-> Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Wenn eine Messagebox kommt, Script nicht abbrechen lassen. Hat alles geklappt, startet sich der Rechner neu - starte den Rechner dann normal. Es befinden sich danach im Ordner C:\PPF_Scan2 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. Es geht dann sofort weiter. Der Rechner startet __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (02.11.2011 um 10:33 Uhr)

02.11.2011, 10:35	#6 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Hab noch was vergessen, musste das Script oben noch mal ändern. Jetzt kannst du loslegen. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (02.11.2011 um 10:54 Uhr)

02.11.2011, 11:06	#7 (Direktlink)
colaautomat02 Stammuser Registriert seit: 14.09.2005 Ort: Bochum Alter: 24 Beiträge: 385	So,habe es mal gemacht: File-Upload.net - Scripting.txt __________________ Computer sind grossartig. Mit ihnen macht man die Fehler viel schneller.

02.11.2011, 11:10	#8 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Tasmanager einmal starten und nachsehen, ob du noch die SVCHOST Prozesse mit der Beschreibung Visual Basic Command Line Compiler finden kannst. screenshot machen. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

02.11.2011, 11:20	#9 (Direktlink)
colaautomat02 Stammuser Registriert seit: 14.09.2005 Ort: Bochum Alter: 24 Beiträge: 385	So, habe ein Screen von dem Taskmanager gemacht: __________________ Computer sind grossartig. Mit ihnen macht man die Fehler viel schneller.

02.11.2011, 11:24	#10 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Sieht schon gut aus, es gibt aber noch mehr Arbeit. Mache folgendes: PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: SEND_MESSAGE->188.118.142.87 ->81 ->Hallo, der Client will was! SLEEP->24000 SEND_FOLDER->188.118.142.87 ->81 ->C:\PPF_Sicherung SLEEP->240000 END-> Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Der Scanner wird versuchen, sich mit dem Internet zu verbinden. Fragt deine Firewall nach, erlaube dem Scanner den Internetzugriff. Warte, bis der Scanner sich selbst beendet oder ich mich melde. Beende den Scanner nicht. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

02.11.2011, 11:33	#11 (Direktlink)
colaautomat02 Stammuser Registriert seit: 14.09.2005 Ort: Bochum Alter: 24 Beiträge: 385	Habe es ausgeführt und der Scanner hat sich von selber geschlossen. __________________ Computer sind grossartig. Mit ihnen macht man die Fehler viel schneller.

02.11.2011, 11:34	#12 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Hat geklappt, PPFScanner jetzt schließen. Malwarebytes installieren. Update ausführen. Ein kompletter Scan, alle Funde löschen und den Report wieder als Textdatei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen den Downloadlink in Deinem Thread posten. Führe anschließend einen System Neustart durch! __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

02.11.2011, 11:36	#13 (Direktlink)
colaautomat02 Stammuser Registriert seit: 14.09.2005 Ort: Bochum Alter: 24 Beiträge: 385	Ok Malwarebytes habe ich schon drauf und werde diesen nun durchlaufen lassen. Ich melde mich, sobald alles fertig ist. __________________ Computer sind grossartig. Mit ihnen macht man die Fehler viel schneller.

02.11.2011, 11:37	#14 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Habe ich gesehen. Updaten nicht vergessen! __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

02.11.2011, 11:45	#15 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Danach: ESET Online Scanner installieren komplett scannen lassen alle Funde löschen LOG hochladen. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Hilfe! Problem beim Runterfahren	rednero	Windows XP	3	16.02.2007 19:42
Fujitsu Simens Lifebook Problem beim Hoch- und Runterfahren	freak1984	Windows XP	1	19.01.2006 11:38
Problem beim Runterfahren	buasty	Windows 95/98/ME/2000/NT	4	05.08.2004 16:38
fehlermeldung beim runterfahren!	marcuslu99	Windows XP	0	21.03.2004 15:57
problem beim runterfahren	stan	Windows 95/98/ME/2000/NT	1	14.03.2003 13:11