seit einiger Zeit frisst ein Prozess Namens "qhrcwzeeh.exe" bei meinem Win XP-Rechner 96 bis 99% der CPU-Auslastung. Selbst wenn ich diesen Prozess mit Hilfe des Task-Managers beende, startet er nach wenigen Sekunden neu und das Gleiche beginnt von vorne. Habe Festplatten, Registry und Google nach obiger "exe"-Datei durchsucht, konnte aber nichts finden. Nur im Prefetch-Ordner erscheint dieser Name immer wieder (nach Löschen). Ich kann nicht genau sagen, wie dieses verdammte Programm auf meinen Rechner gekommen ist, und würde gerne wissen, wie ich dieses Ding ausschalten kann, bevor ich meine Festplatten formatieren und Win-XP samt aller Software neu installieren muss. Bin für jeden Tip sehr dankbar, da mein Rechner seine sonstigen Aufgaben nur noch recht langsam erledigt.
Moin,
hast du einen ständig upgedateten Virenscanner und einen Malwarescanner installiert?
Deine XP-Updates sind auch auf dem neuesten Stand?
Schicke uns ein Logfile, welches du mit HighjackThis erstellst. Anleitung und Link zum download
vielen Dank für Deine Antwort - ich habe keinen aktuellen Virenscanner etc. auf meinem Rechner laufen, noch sonst irgend einen Scanner für unerwünschte Software, und in der Vergangenheit hatte ich auch nie Probleme damit. Doch nun scheint es meinen Rechner erwischt zu haben. Ich habe vorhin noch folgendes festgestellt: auf jedem Laufwerk befindet sich eine Exe- und eine zugehörige Autorun.inf Datei. Der Name der besagten Exe-Dateien ist eine zufällige Buchstabenkombination. Ferner kann ich sowohl die Autorun- als auch die Exe-Datei beliebig oft löschen - sie ersteht immer wieder neu, mit neuem Dateinamen. Es ist also ein hartnäckiger Fall. Diese Dateien haben sich auf jedem logischen Laufwerk eingenistet und ich kann die Dateinamen nicht finden, wenn ich meinen Rechner mit der Win98 Boot-Disk hochgefahren habe. D. h. ich kann diese Dateien im reinen Dos-Modus nicht löschen, da sie nicht beim Befehl "dir *.*" erscheinen. Nachdem ich mit Hife des Hijackthis-Programms die qhrcwzeeh.exe Datei entfernt habe, ist die Systemleistung auf 5% zurückgegangen, aber es dauert nicht lange, dann werden wieder 98% Systemleistung aufgefressen, da sich das Programm wieder in den Arbeitsspeicher hineinlädt.
Anbei also der Log-File des Hijack-Programms:
Logfile of HijackThis v1.99.1
Scan saved at 17:50:08, on 22.05.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Bin gespannt, was es für eine Lösung in diesem Fall geben wird und bedanke mich sehr für Deine prima Unterstützung
Gruß, Alexander
P.S. ich werde ab heute Abend bis Sonntag Abend nicht zu Hause sein können, also bitte nicht auf meine Antwort warten - die kommt am Montag den 26.05.08 - Danke!
Moin,
du hast viel Nachholbedarf:
1. du musst dir das SP3 von WIN XP holen. Geh zu der Downloadseite von MS.
2. du musst deinen Internet Explorer nachrüsten auf IE 7, ebenfalls über download bei MS
3. du brauchst unbedingt einen Virenscanner. Empfehlung: https://www.free-av.de/de/produkte/index.html
da gibt es eine Freeware-Version: Avira AntiVir Personal - FREE Antivirus
4. Du brauchst einen Spywarescanner. Empfehlung:Spybot Search&Destroy https://www.dirks-computerecke.de/spybot-anleitung.htm
5. Nachdem du das alles installiert und damit gescannt hast gehst du in den 'abgesicherten Modus'. Deaktiviere die Systemwiederherstellung für diese Prozedur.
Scannst mit HjT erneut und fixst dieses:
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
D:\WINDOWS\System32\qhrcwzeeh.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [MDM Rock 4] D:\WINDOWS\System32\qhrcwzeeh.exe
O18 - Protocol: x-mem3 - {4F6D06DD-44AB-4F89-BF13-9027B505B15A} - D:\WINDOWS\system32\eztoolslib2.dll
Danach sendest du uns ein erneutes Logfile und vielleicht schon einen positiven Kommentar.
also dieses "Du Musst" würde ich mal ganz vorsichtig sagen!
Aber ein Aktueller Virenscanner ist schon von vorteil und sollte jeder auf seinem PC installiert haben, derzeitiger Favorit ist für mich AVAST Home.
Der CCleaner kann auch nur von vorteil sein.
Folgende Schritte habe ich unternommen:
1.) habe Spybot installiert: hat alles gefunden, doch konnte er die "qhrcwzeeh.exe" nicht dauerhaft deaktivieren.
2.) Wollte Free-AV installieren, doch kam die Meldung, "die CRC-Summe der Setup.exe-Datei wurde verändert. Dies kann von einem Virus verursacht worden sein!". Die Installation hat dann nicht mehr geklappt.
Habe ferner festgestellt, dass auf JEDEM Laufwerk diese Virus-exe-Datei inklusive Autorun.inf geschrieben wird, auch auf USB-Sticks! D. h. Jedes Laufwerk, dass ich an meinen Rechner anschließe wird infiziert- eine schreckliche Sache! Soll ich noch XP SP 3 installieren?
Danke für Eure weitere Hilfe und Unterstützung!
Hier der aktuelle Logfile von Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 18:14:54, on 26.05.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Moin,
Ergänzung:
Update deinen Internet Explorer.
Nutze nur einen Virenscanner. Gegenseitige Behinderung mehrerer ist oft gegeben.
Scanne erneut mit HjT im 'abgesicherten Modus' und fixe diesen Eintrag.
Jau, es hat geklappt! Mann bin ich froh !! 1000 Dank!
Habe - wie von Dir empfohlen - Hijackthis im abgesicherten Modus laufen lassen, und nun ist endlich Ruhe mit "qhrcwzeeh.exe"! Konnte auch auf jedem Laufwerk (auch USB-HDD und USB-Stick) die schädliche "Autorun.inf" inklusive zugehöriger Virus-Exe-Datei erfolgreich löschen!
Auch Dank Spybot konnte eine erneute Änderung der Registry durch "qhrcwzeeh.exe" verhindert werden!
Mann bin ich dankbar, dass es Euch gibt, und dass Ihr mir so erfolgreich geholfen habt diesen hartnäckigen Virus zu killen!
Bitte teile mir jetzt nur noch mit, wie ich AVAST Antivir wieder deinstallieren kann, denn ich habe ja jetzt Spybot und Hijackthis. (Avast Antivir konnte nicht korrekt installliert werden, weil die Exe-Datei verändert wurde). Danke im Voraus!
Hier noch der neue Logfile von Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 08:00:31, on 27.05.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Ergänzung: habe Avast nun doch deinstallieren können! (habe Programm nochmal downgeloaded und anschließend wurde ich bei der erneuten Installation gefragt, ob ich es deinstallieren wolle).
Moin,
es freut uns, wenn wir helfen konnten. Dein Logfile ist sauber.
Ich möchte dich trotzdem darauf aufmerksam machen,
1. dass du eine ziemlich alte Version vom Internet Explorer hast und das kann auch eine Sicherheitslücke sein. Geh zu MS-Update > https://update.microsoft.com/microsof...ult.aspx?ln=de
wenn du nicht automatisch von Zeit zu Zeit über neue Updates informiert wirst.
Ich würde an deine Stelle im 'Sicherheitscenter' ( Start > Einstellungen > Systemsteuerung) zumindest die Version 'informieren' einrichten. Der Installation von SP 3 steht auch nichts entgegen.
2. Überprüfe dort auch, dass du zumindest die Windows-Firewall aktiviert hast, wenn du keine externe hast.
3. Wenn du Avast nicht behalten willst, dann entscheide dich für AntiVir als Scanner. Dass ist Freeware und muss eigentlich täglich upgedatet werden und auch damit täglich gescannt werden, denn Spybot ist ein Malwarescanner und der erkennt keine Viren.
4. HighjackThis ist ein Tool, welches zur Erkennung dient, aber nicht zur Verhinderung von bösartigen Eindringlingen.
5. Als sehr nützlich hat sich das Tool CCleaner erwiesen, dass die Reinigung der Registry von Datenresten vornimmt. Die vorgegebenen Einstellungen nach dem Download kannst du 1:1 übernehmen.
Zusammengefasst:
Täglich (je nach online-Nutzung des PC) Virenschutz updaten und scannen.
Mindestens 1 x wöchentlich Spybot updaten und scannen
Mit CCleaner ( je nach Arbeitsaufwand off- und online) scannen und nach Analyse entfernen lassen.
vielen Dank für Deine Zusammenfassung! Ich werde Sie mir kopieren und auf meinem Rechner speichern. Wünsche Dir und allen, die PC-Usern bei jedweden Problemen hilfreich zur Seite stehen alles Gute!
Du hat zwei Antivirenprogramme drauf. Deinstalliere Avast oder Antivir. Am besten beide nachdem du dir die kostenlose Avira Premium geholt hast --> https://computerguard.de/vb/thread-647.html