Unglaublich hartnäckiger Virus

04/08/2018 04:45 Apocalyptum#1
Hi liebe epvp com,

ich bin mittlerweile am verzweifeln.
Ich habe mir aus dummheit einen Virus reingegeigt. Das ganze hat damit gestartet, dass ich bei einer Installation das Programm "Launch System Healer" ausversehen mitinstalliert habe. Keine Ahnung wie, ich muss wohl etwas übersehen haben. Jedenfalls gibt es seitdem ein paar Probleme, die ich jetzt einmal detailiert beschreibe:

-Meine Browser (Jeder einzelne, Chrome/Firefox/IExplorer) schließen sich beim öffnen bestimmter Webseiten zur Virenbekämpfung. Zum Beispiel das öffnen der Seite Eset Nod32, oder bestimmte Foren zur Hilfe der Bekämpfung von Viren.

-cmd öffnet und schließt sich SOFORT wieder. Vorher wurde beim öffnen der cmd sogar der ganze PC sofort runtergefahren, das konnte ich allerdings durch ändern eines Registry Schlüssel beseitigen.

-Der Computer fährt nicht mehr anständig herunter; sobald er neugestartet oder runtergefahren wird, erscheint noch nicht mal der "Herunterfahren Bildschirm" sondern er wird, genau dann wen der Herunterfahren Bildschirm eigentlich immer erscheint, sofort schwarz und fährt dann das Mainboard wieder hoch (fast wie ein unsichtbarer Bluescreen)

-Die Systemwiederherstellung wird blockiert und im abgesicherten Modus irgendwie keine meiner Wiederherstellungspunkte angezeigt (im normalen Modus aber schon).

-Antivirus hat bereits Launch System Healer komplett entfernt, findet aber nichts weiteres

-Als Launch System Healer noch installiert war, liefen meine Lüfter komplett auf Hochturen

-Der svchost läuft permanent, konstant auf 50% CPU Auslastung (Windows Update ist deaktiviert) außerdem werden keine Dienste markiert, wenn ich versuche, diese per Rechtsklick auf svchost anzeigen zu lassen.

-Der PC fährt sich manchmal runter, nachdem ich etwas zufälliges im Task Manager angeklickt habe

-Die Installation von Eset Not32 wird komplett blockiert


Im abgesichertem Modus funktioniert alles allerdings einwandfrei und DISM.exe findet im powershell beim Scan ebenfalls nix, sowie Restorehealth und Scanhealth scheinen auch nix zu finden.
Und ja, ich habe auch andere Antiviren neben Malwarebytes laufen und scannen lassen. PC lässt sich im abgesicherten auch normal runterfahren.

Ich bin nun absolut kein Anfänger am PC und habe eigentlich nie Probleme mit Viren, aber dieser ist für mich echt... jesus christ.

Kann ich irgendwie herausfinden, was dafür sorgt, dass der CMD oder meine Browser sich schließen?
Übrigens habe ich bereits alle meine Prozesse überprüft, nichts davon (zumindest nicht mehr) sieht verdächtig aus.

Falls benötigt, kann ich gerne eine Hijackthis Log im normalen Modus machen. Im abgesicherten bringt das ja glaube ich nichts... hat irgendjemand einen Plan, was zum F*** dieser **** sein könnte?
System neu aufsetzen würde mir unheimlich viel Arbeit einbringen und sollte möglichst nur der letzte Ausweg sein...

edit hijackthis:

Ich freue mich über jede Hilfe vielmals.

LG Fabi

EDIT: Nachdem ich nun etliche Antivirenprogramme probiert habe, hat mir eines die Erlösung gebracht: Zemana. Es hat mehrere Programme bzw .dlls erkannt die sich als schädlich erwiesen haben, und seitdem sie entfernt worden, lässt sich cmd, wieder öffnen, ESET/Kaspersky lassen sich nun installieren (was vorher geblockt wurde). Auch lassen sich die Webseiten wieder öffnen und svchost hat nun wieder 0% Auslastung. Ich werde nun noch das runterfahren testen und euch dann nochmal Bescheid geben.

EDIT 2: Das Herunterfahren lief weiterhin nicht richtig und die anderen Probleme sind nun wieder zurückgekehrt... Ich verliere langsam echt die Geduld. Sitze jetzt auch schon 5 Stunden an dem Mist.
svchost bleibt zwar jetzt normal, allerdings erscheint nun die TRACERT.exe im Taskmanager mit 50% Auslastung. Der Virus versteckt sich also in den Windows Diensten. Ich weiß nicht, wie ich den da raus bekomme, aber da der Virus anscheinend explizit was gegen Eset Nod hat, werde ich es mal damit probieren, falls Zemana wieder in der Lage sein sollte, den Installierungsblock zu verhindern.

EDIT 3: Nach dem 2. Versuch mit Zemana hat es nurnoch das Problem mit dem svchost gefunden. Nach beseitigen des Problems funktionieren alle Funktionen des PCs tatsächlich wieder normal, zu TRACERT.exe hat Zemana aber nichts gefunden. ESET NOD32 findet einen "CoinMiner.CQ" in der tracert.exe allerdings kann EN32 dagegen nichts machen, es tritt einfach ein Fehler auf. Solangsam hab ich keine Lust mehr...
04/08/2018 06:49 Verleihnix#2
Wenn es Dir nix ausmacht, deke doch bitte einmal über solche schadpogramme nach.
Die von Dir bislang investierte zeit wäre in einer sauberen neuinstallation nebst abbild mit aconis sehr fein aufgehoben.
Die leute, die solche schadsoftware entwickeln, testen diese gegen aktuelle virenpogramme, standart ist, code nachzuladen um die virnwächter zu "ärgern".
Hast Du mal Desinfekt drübergejagt? gab es mal vor einiger zeit in der CT.
MAn könnte auch von Linux aus die entsprechenden dateien Löschen.
Die svchost ist nur ein sammelprocess, mit processexplorer von sysinternals kann man da reinschauen, eventuel weitere hinweise bekommen.
Deine passwörter solltest Du von Lubuntu live cd aus abändern, die könnten durchaus schon weg sein.
04/08/2018 11:07 fenster3000#3
Bei solchen Schadprogrammen ist eine saubere Neuinstallation eigentlich Pflicht.
Selbst wenn man meint manuell alles zu finden.
Sofern man noch eine MBR Partitionstabelle hat kann man die auch zur Sicherheit neu aufbauen.
04/08/2018 13:28 Freeze#4
Wie meine beiden Vorposter es bereits gesagt haben, ich würde bei so etwas nicht so viel Zeit investieren und versuchen die einzelnen Teile des Virus zu entfernen. Das Risiko dass doch noch etwas über bleibt ist dabei zu groß.
Weshalb nicht direkt eine Neuinstallation des Systems über CD oder USB Stick machen?
04/08/2018 16:31 Apocalyptum#5
Danke für eure Antworten. ESET hat das Problem allerdings komplett lösen können wie es scheint, und ich habe auf einem sicheren System auch meine Passwörter überprüft. Bisher scheint da alles gut zu sein. Jetzt ergibt es auch Sinn, warum ESET der einzige Antivirus war, dessen Webseite sich nicht öffnen ließ. Also Jungs... Dank neuer Erkenntnisse weiß ich jetzt, dass man Zemana und ESET NOD32 vertrauen kann :D

Sollte dennoch wieder irgendwas derart passieren oder etwas mit meinen Passwörtern/Accounts, wird sofort eine Neuinstallation durchgeführt.
LG Fabi
04/08/2018 22:16 algernong#6
Du weisst halt nicht, ob dein System jetzt wirklich wieder in Ordnung ist, oder ob nicht noch irgendeine Schadsoftware im Hintergrund laeuft von der du nichts mitbekommst (und die dein Antivirenprogramm nicht findet).
04/12/2018 13:40 Eule#7
warum nicht einfach neuinstallieren....
04/12/2018 15:10 Blackbirds#8
die gefährlichsten viren sind die, die man nicht bemekrt ^^
04/12/2018 22:58 EPvPAgen#9
Quote:
Originally Posted by Apocalyptum View Post
Danke für eure Antworten. ESET hat das Problem allerdings komplett lösen können wie es scheint, und ich habe auf einem sicheren System auch meine Passwörter überprüft. Bisher scheint da alles gut zu sein. Jetzt ergibt es auch Sinn, warum ESET der einzige Antivirus war, dessen Webseite sich nicht öffnen ließ. Also Jungs... Dank neuer Erkenntnisse weiß ich jetzt, dass man Zemana und ESET NOD32 vertrauen kann :D

Sollte dennoch wieder irgendwas derart passieren oder etwas mit meinen Passwörtern/Accounts, wird sofort eine Neuinstallation durchgeführt.
LG Fabi
Bis du es merkst, dass jemand deine Daten besitzt, sind deine ganzen Accounts schon weg. Ich würde dir dringend raten ein Reset zu machen. Meist lassen sich Viren nicht so einfach per Antivirus entfernen und wenn doch, bleibt bestimmt was übrig. Nebenbei würde ich dir auch noch empfehlen alle Passwörter zu ändern.