Getarnter Virus in svchost.exe

[Fade_to_Black]

Hallo. Mir ist vor kurzem aufgefallen das bei mir im Taskmanager immer ein svchost.exe läuft der aber von meinem Account und nicht vom System oder sonst was läuft. Weiters steht dort bei Beschreibung Bqnp. Die Datei startet immer wieder nach Beendigung. Außerdem hab ich mir auch den Dateipfad angeschaut welcher wäre: C:\Users\The Lord\AppData\Roaming\System

Hab auch bei msconfig nachgeschaut wo ebendfalls dieses Programm drin is und deaktiviert. Wenn ich den msconfig wieder aufmach ist der Dienst ebenfalls wieder aktiv.
Den gennanten Ordner System kann ich aber garnicht sehen obwohl ich die Option einblenden aktiviert habe. Nur wenn ich das Verzeichnis per Tastatur eingebe geht er drauf. Zeigt mir aber auch die Svchost.exe nicht an. Über den Taskmanager kann ich auf die Eigenschaften dieser Datei gehen. Sie ist versteckt. Kann das aber nicht aufheben. Unter Originaldateiname finde ich ifEsVo.exe
Weiters ist auch immer ein zweiter Firefoxtask offen welcher auch immer wieder aufplopt auch wenn ich kein Firefox offen hab

Wie kann ich die Datei endgültig vernichten. Avg sieht leider nichts beim Scan.

Mfg Fade

 

[proFane]

"Svchost.exe" ist eine wichtige Windows Systemdatei. Sie ist ein allgemeiner Überprozess für Dienste, die mit Hilfe von DLL-Dateien ausgeführt werden. Dienste sind Funktionen, die z.B. automatische USB-Geräten erkennen oder die Druck-Funktionen ermöglichen. Dienste können gestartet oder gestoppt werden. Nicht alle Dienste benötigen Svchost.exe (nur solche, die per DLL-Dateien ausgeführt werden müssen). Beispiele für Systemdienste, die unter dem svchost-Prozess laufen sind: "Automatic Updates", "Windows Firewall", "Plug and Play", "Fax Service", "Windows Themes" und viele andere.
Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird. Svchost.exe fasst mehrere Dienste zusammen, d.h. es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden.
Wenn der Prozess svchost.exe viel CPU-Ressourcen verbraucht, ist die Ursache meist der Dienst "Automatische Updates", der ein neues Windows-Update herunter lädt. Aber wenn die CPU-Auslastung 99% oder 100% beträgt, konnte der Grund auch ein versteckter Schädling sein, der weitere Dateien aus dem Internet nachlädt. Einige Schädlinge wie der Conficker Wurm ändert die Windows-Registry, so dass die svchost.exe die Schädlings-DLL-Datei ausführt. In diesem Fall sehen Sie nur den richtigen svchost.exe Prozess im Task-Manager! Um solche Schädlinge zu finden, nutzen Sie unseren kostenlosen Svchost Analyzer.
Siehe auch: Microsoft Referenz PcTip.ch

Wichtig: Die Datei "svchost.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei svchost.exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z.B. mit Security Task Manager.

 

[MacGyver]

Lade dir von Malwarebytes.org den Malwarescanner runter und scanne dein System per QuickScan.

Dieses Programm dürfte dein Problem lösen.

 

[emlyn d.]

hallo,
der schädling injiziert sich offensichtlich in einen neuen browser-prozess.
heißer kandidat bei dem fundort ist spynet, ein mächtiges rat.
du kannst ja mal den mbam-scan(mögliche funde nicht löschen!) und ein dds-log(https://www.computerbase.de/forum/t...cht-infektion-vor-dem-posten-beachten.741157/) posten, aber ich denke, da sollte der saubere neuanfang gewagt werden.

 

[Fade_to_Black]

Also ich hab jetzt das Prog von MacGyver drüber lassen und es hat auch den Prozess gefunden. Dieser wurde in die Quarantäne geschickt und jetzt hab ich auch keinen doppelten Firefox Eintrag mehr. Ich werd mal neu starten und sehen ob er noch da ist. Trotzdem schonmal danke für die sehr schnelle Hilfe.

 

[emlyn d.]

hast du meinen letzten beitrag gelesen?

 

[chriss_msi]

Hm Quarantäne war noch nie das Gelbe vom Ei, kannste den nicht direkt löschen?

 

[emlyn d.]

das ist unsinn!
nicht löschen!

 

[Fade_to_Black]

Ich hab deinen Eintrag nicht gelesen weil ich das zu diesem Zeitpunkt schon gemacht hatte.

 

[Damokles]

Wieso sollte man das Teil nicht löschen?
Wenn es sich um einen Virus/Trojaner handelt ... dann gehört der gelöscht!
Sollte damit irgendein Programm nicht mehr funktionieren kann man es neu installieren.

 

[emlyn d.]

@Fade_to_Black
das kannst du ja nachholen.
@Damokles
wenn es sich wirklich um spynet handelt und der angreifer aus deutschland kommt, so sind die möglichkeiten für die zuständige behörde nicht gering, ihn zu ermitteln.
das kann z.b. dann von interesse sein, wenn finanzieller schaden entstanden ist.