Thema: CPU auf 100% (Irgendeine Infizierung als Ursache wahrscheinlich)

[Beral]

Mein kleines privates Drama geht weiter.  

Seit gestern hat mein alter Freund, der PC, Fieber. CPU ist voll ausgelastet, selbst wenn ich nix tue und keine Programme öffne, bzw alle Programme schließe.

Der Rechner ist auch wahnsinnig lahm geworden (hängt das mit der Auslastung zusammen?).

Ebenfalls seit gestern bekomme ich beim Neustart eine Updatemeldung von FLV, die mich auf eine Webseite kickt, wo ich die neueste Version runterladen soll: [EDIT BOBA: Link mit infizierender Site entfernt]
(Ich nehme an, hier treiben sich nur Kenner herum, aber für den Fall der Fälle: Ladet euch den FLV-Player bitte woanders herunter. )

Ebenfalls gestern, mit dem ersten Auftreten des Updateangebots, wurde ein Trojaner gemeldet, den ich in Quarantäne geschoben habe.

Mögliche Ursache des ganzen Schlamassels ist ein Crack für den Universal Document Converter. Damit habe ich eine *.exe selbst und freiwillig ins Windows-System eingeschleust.

Help?

[Heretic]

Hm, eine Idee wäre, mal dein Antivirenprog durchlaufen zu lassen, und anschliessend gleich mit Hijack-This Registryeinträge zu entfernen, die da nicht reingehören.

Und nimm bitte den Link raus, nachher klickt noch einer drauf...
You never know...

[Bitpicker]

Der FLV-Player kommt mir wie eine Malware-Schleuder vor. Ich meine, wozu braucht man noch einen Player für Streams, wo doch praktisch jedes Windows schon über Media Player, Quicktime und Flash verfügt?

Ich sage das aber nicht aus Erfahrung, sondern aus gesundem Misstrauen gegenüber allem, was für kostenlosen Zugang zu sonst konstenpflichtigen Medien kostenlos verteilt wird. Vielleicht ist das Ding ja doch irgendwie legitim, aber wenn nicht, würde es mich nicht wundern. Merke: exe-Dateien oder Codecs für illegales Zeug sind gefährlich. Normalerweise würde ich sagen: Selbst Schuld.

Aber: bei Microsoft kannst du den Process Explorer aus der Sysinternals Suite herunterladen. Mit dem Programm kannst du herausfinden, welcher Dienst deine CPU so belastet. Da du den begründeten Verdacht hast, infiziert zu sein, solltest du dein System mit einer der existierenden Linux-Live-CDs namhafter Hersteller auf Viren scannen. Dazu bootest du diese CD und folgst den Anweisungen, der Vorteil ist, dass das Windows und damit auch jegliche Infektion nicht aktiv ist und sich die Malware nicht verstecken kann.

Mögliche Quellen für solche CDs:

Avira: http://dlpro.antivir.com/down/vdf/rescuecd/rescuecd.iso
AVG: http://www.avg.com/us-en/avg-rescue-cd
F-Secure: http://www.f-secure.com/linux-weblog/ (ZIP ganz unten in der Navi rechts)

Robin

[Ebenezer]

ich fürchte ich mache mich jetzt nicht beliebt aber:

Wenn das ganze ein halbwegs aktueller Virus ist, ist das System im Prinzip verloren. Selbst wenn mit den oben genannten Methoden die Infektion beseitigt wird, hat der Virus typischerweise bereits derart große Lücken in die Integrität der Services und Abwehreinrichtungen geschlagen dass der Rechner bei jeder neuen Verbindung ins Netz neu infiziert wird.

Daher wäre mein Vorschlag:

Schritt 1: Test der fraglichen Datei über www.virustotal.com
Wenn Virus: Säuberung des Systems wie oben ohne Verbindung zum Internet.

• Transfer aller nicht-Windows Daten auf freie Partition oder neue Platte (per WinCommander oder per Rettungs-CD wie oben).
• Backup des Windows- Dokumente und Einstellungen Ordner auf neue Platte/Partition (soweit möglich eigene Partition - per WinCommander; oder per Rettungs-CD wie oben).
• Neuinstallation Windows und der meistgenutzten Programme.
• Erneuter Virenscan.
• Rückkopieren der Einstellungsdateien von sicher nicht befallenen Programmen (also nicht der gecrackten) aus dem Backup-Verzeichnis in das neue "Dokumente und Einstellungen"-Verzeichnis.

In Zukunft: Dubiose Programme über Sandboxie ausführen.

[Beral]

Keine Sorge, ihr macht euch bei mir beliebt mit den klaren Worten.

Ich habe zwei Partitionen, C und D. Auf D liegen nur Dateien gelagert, Filme und so Zeugs. Die Systeme und Programme sind alle auf C. Hilft es, wenn ich im Notfall C formatiere und Windows neu aufspiele? Oder muss ich befürchten, dass D auch befallen wurde?

[Bitpicker]

Kommt darauf an, ob "Zeugs" auch Ausführbares oder ggfs. manipulierte PDFs etc. enthält.

Robin

[Beral]

Ich habe Windows neu installiert. Das Virusvieh hatte sich definitiv irgendwo im System festgesetzt, da hilft offenbar auch kein Antivirus mehr. Außerdem ist Neuinstallation für mich Nub einfacher. Dauert nur einen Tag, dann ist alles Wichtige und Notwendige wieder aufgespielt. Mit Bereinigungsversuchen hätte ich mich tagelang gequält.

In Zukunft gilt es, mit Cracks vorsichtiger umzugehen (oder sie zu umgehen).

[Thralhavoc]

Welches Windows benutzt du?
Wenn du Vista oder Win7 benutzt, dann lege dir
ein neues Benutzerkonto an so das du nicht immer
als Admin angemeldet bist. Das bringt schonmal bisschen
Sicherheit. Hast du auch mal deinen Anti-Virus Programm
üder deine D Platte laufen lassen?

Gruß

Thralhavoc

[Beral]

XP. Das kann doch auch Benutzerkonten? Ich kann die aber nicht leiden.
AVG sagt, dass D sauber ist. Das ist bei mir nur eine Schublade zur Ablage. Klar, mit Word- und Excel-Dokumenten liegen auch ausführbare Dateien drauf, aber wenn der Virus so schlau war, sich da einzunisten, habe ich einfach Pech. Ich hoffe auf so viel Fairness vom Programmierer, dass der Virus bei der Wiederaufnahme seiner Aktivität wieder so aggressiv vorgeht, dass es unübersehbar ist.

[Bitpicker]

XP. Das kann doch auch Benutzerkonten? Ich kann die aber nicht leiden.

Das mag sein, es ist aber sicherer. Windows ist unter anderem eben wegen seiner unsinnigen Benutzerverwaltung so unsicher. Das Problem ist hausgemacht: Microsoft hat es versäumt, seine Benutzer rechtzeitig auf Berechtigungen und Benutzerrollen hin zu sensibilisieren. Jeder Windows-Benutzer war bis Win XP automatisch erst mal Administrator. Das ist etwa so, als würde ein Autohersteller seine Autos serienmäßig erst mal ohne Bremsen ausliefern, weil keiner gerne bremst.

Zwar wurde darauf ab Vista reagiert, aber auf idiotische Weise: da der Windows-Benutzer nicht mehr davon abgehalten werden kann, mit Administratorrechten unterwegs zu sein, werden eben die Möglichkeiten der Administration durch dauernde Nachfragen und Verhinderungsmechanismen eingeschränkt.

Zumindest für die Internet-Benutzung würde ich dir dringend empfehlen, eingeschränkte Rechte zu benutzen. Das muss nicht unbedingt über ein eingeschränktes Benutzerkonto passieren, stattdessen solltest du Programme, die ins Internet gehen, mittels einer Software wie DropMyRights starten, damit diese in einem eingeschränkten Kontext laufen. Leider ist es so, dass XP mit einem reinen Benutzerkonto kaum benutzbar ist, weil du ggfs. nicht mal deinen Bildschirmschoner einstellen kannst. Da ist so etwas die bessere Alternative.

Allerdings nutzt dir das bei der bewussten Installation gecrackter und verseuchter Software überhaupt nichts. Für eine Installation brauchst du Administratorrechte, was du dir also auf diesem Wege einfängst, hast du selbst zu verantworten.

Auf 'Fairness vom Programmierer' zu hoffen, ist äußerst blauäugig. Malware geht heutzutage nicht mehr aggressiv vor in dem Sinne, dass sie leicht zu bemerken ist. Im Gegenteil: meist belastet die Antivirensoftware das System viel nachhaltiger und auffälliger als die Malware. Wenn ein System durch Malware in seiner Leistung spürbar beeinträchtigt ist, war es so schlecht geschützt, dass es wohl eher unter der Last vieler Infektionen leidet. Kürzlich gab es in einem anderen Forum so ein Beispiel: nach der Reinigung berichtete der Besitzer des Systems fröhlich von 11 Trojanern und einigen Viren, die entfernt worden waren. Einem System eines solchen Benutzers gebe ich nur wenige Stunden bis zu nächsten erfolgreichen Infektion.

Robin

[Beral]

Auf 'Fairness vom Programmierer' zu hoffen, ist äußerst blauäugig.

Das war halbwegs ironisch gemeint.
Was auch immer sich in meinem System eingenistet hatte, hat CPU auf 100% hochgetrieben. Das war ziemlich auffällig. Wofür tut ein Virus das überhaupt? Meine persönliche nubige Interpretation ist, dass nubige Abwehrmaßnahmen (Antivirus laufen lassen) damit behindert werden. Ich konnte pro Tag maximal einen Ordner in C prüfen, mehr schaffte das Programm nicht. Wäre die Infizierung unauffällig geblieben, hätte sie sich in Ruhe meines Systems erfreuen können (was sie auch jetzt möglicherweise tut).

Der Systemschutz ist grundsätzlich eine unüberschaubare Sache. Wenn ich mich darüber informiere, bekomme ich den Eindruck, dass ich tausend Tools brauche, um halbwegs sicher zu sein. Jeder Ratgeber fügt hundert weitere dazu. Als Dummie kann ich das nicht stemmen. Die Flut der Empfehlungen ist lähmend. Zumal das alles auch nichts nützt, wenn ich durch eigene Dummheit eine infizierte exe-Datei in das System packe und sie starte.
Aber ich will gar nicht meckern. Irgendwie läuft es schon seit über einem Jahrzehnt. Was ich aus den Empfehlungen herausfiltere und anwende, reicht offenbar zum Überleben im Internet aus. Für viel mehr reichen meine Ambitionen auch nicht.

[Bitpicker]

Der Systemschutz ist grundsätzlich eine unüberschaubare Sache. Wenn ich mich darüber informiere, bekomme ich den Eindruck, dass ich tausend Tools brauche, um halbwegs sicher zu sein. Jeder Ratgeber fügt hundert weitere dazu. Als Dummie kann ich das nicht stemmen. Die Flut der Empfehlungen ist lähmend. Zumal das alles auch nichts nützt, wenn ich durch eigene Dummheit eine infizierte exe-Datei in das System packe und sie starte.

Willkommen in der Windows-Welt. Diese Erkenntnis ist der erste Schritt zur Besserung. Normalerweise muss ich mir den Mund fusselig reden, bis ein normaler Windows-Benutzer begreift, dass er standardmäßig mit verbundenen Augen auf der falschen Seite der Autobahn fährt und nicht viel dagegen tun kann.

Normalerweise bleibt Malware unauffällig. Sie will deine Kontodaten, deine Game Accounts, deine Passwörter und die Rechenleistung deines Computers als Botnet-Zombie für die Verwendung als Spamschleuder, Angriffswaffe für Denial-Of-Service-Attacken usw. Sie will nicht dabei auffallen, wie sie sie beschafft.

Dass ein Virus für die Auslastung des Systems verantwortlich ist, ist nur eine Vermutung von dir. Du hättest mit dem Process Explorer nachschauen können, was dafür genau verantwortlich ist. Es ist sicher keine Selbstschutzmaßnahme irgendeiner Malware - die sind dafür heutzutage viel zu clever programmiert. An Windows gibt es genug wackelige Elemente, die so etwas verursachen können, ohne dass eine Infektion mit Malware notwendig ist. Ich habe z.B. mal ein Notebook zur Reparatur gehabt, das etwa alle zwei Sekunden eine kurze Denkpause mit 100%iger CPU-Auslastung einlegte, so dass es unmöglich war, Texte darauf zu schreiben, weil in diesem Moment auch Tastatureingaben ins Leere liefen, bei normaler Tippgeschwindigkeit fehlten also regelmäßig ein, zwei Buchstaben. In diesem Fall lag es an einem kaputten Akku, der eingelegt war und alle paar Sekunden eine Panikreaktion in Windows hervorrief, obwohl das Notebook ausschließlich mit Stromkabel benutzt wurde (was Akkus zuverlässig irgendwann himmelt).

Robin

[Beral]

Ich hatte mit dem Prozess Explorer geschaut. Und mit dem Windows Task-Manager. "System" hat sich da besonders hervorgetan. Für mich sah das nach einem Grund mehr aus, auf Reparaturversuche zu verzichten.
Vielleicht war es wirklich kein Virus. Ein Trojaner wurde ja immerhin sofort erkannt und gesperrt. Aber irgendwas war so weit kaputt, dass es sich meinem bescheidenen Machteinfluss entzog.