Sehr geehrter Herr Matthiesen,
seit einigen Wochen bekomme ich von meinem Norton 360 laufend Leistungswarnmeldungen, die sich auf verschiedene Prozesse/Programme beziehen. Ich habe schon einiges deinstalliert. Ich kann aber nicht den Internet-Explorer deinstallieren oder grundlegende Windows-Programme. Die letzten Warnmeldungen lauteten: Horstprozess für Windows-Dienste, CPU wird stark beansprucht. 51% von mindestens einer CPU. svchost.exe. Und zum selben Programm heute: (rot) “Datenträgerschreibvorgang 161 MB” (beim Schreiben einer E-Mail). Noch genauere Angaben kann ich Ihnen übermitteln. Wie ernst muss ich das nehmen? Was kann ich machen? Ich bin besorgt.
Ich bitte um Ihre Hilfe. Mit freundlichen Grüßen
Carlos
Guten Tag Carlos,
ich habe das Thema an unseren Sicherheitsexperten weitergeleitet. Ich hoffe, der kann Ihnen helfen.
Beste Grüße
Sehr geehrter Herr Carlos,
mir wurde Ihre Frage zur Beantwortung weitergeleitet. Ich sehe das als ernste Warnzeichen an. Eine E-Mail mit 161 MB ist sehr ungewöhnlich, svchost.exe wird häufig von Schadprogrammen missbraucht.
1. Laden Sie die Kaspersky Rettungs-CD herunter: https://support.kaspersky.com/viruses/rescuedisk
2. Brennen Sie die erhaltene Datei auf eine CD/DVD.
3. Starten Sie Ihren PC mit der Rettungs-Disk und überprüfen Sie ihn auf Schadprogramme.
Die Schritte 1 und 2 sollten Sie nach Möglichkeit nicht mit dem PC mit Schadprogramm-Verdacht durchführen, sondern mit einem anderen, sauberen PC.
Sollten mit der Rettungs-Disk mehrere Schadprogramme gefunden werden, empfehle ich eine Neuinstallation von Windows. Das kostet Zeit ist aber in dem Fall die einzig sichere Methode.
Schon wenn ein sehr gefährliches Schadprogramm wie ein Banking-Trojaner oder Rootkit gefunden wird, empfehle ich eine Neuinstallation. Rootkits verändern Windows-Systemdateien und sind dadurch nicht sicher zu entfernen.
Werden vergleichsweise harmlose Schadprogramme wie eine Browser-Toolbar gefunden, dann reicht das entfernen. Sie können mir die Funde nennen, dann kann ich Ihnen bei der Entscheidungsfindung helfen.
Für den Fall, dass eine Toolbar dahinter steckt und Ihren PC verlangsamt, sollten Sie vor der Kaspersky Rettungs-CD auch einen Check mit G DATA CLEAN UP durchführen: https://www.gdata.de/clean-up
Klicken Sie oben auf der Seite auf das Video, dann erhalten Sie eine Kurzeinführung in PUPs (unerwünschte Programme).
Bitte geben Sie in jedem Fall eine Rückmeldung, damit wir den Fall hier abschließen oder weiterhelfen können.
Viele Grüße
Michael-Alexander Beisecker
Danke, Herr Beisecker, jetzt bin ich aber total verzweifelt. Die seit Stunden unüberwindbaren Schwierigkeiten begannen nach Ihrem Punkt 3. Der PC lässt sich nicht von der Kaspersky Rettungs-Disk (bei mir als USB-Stick) starten. Zum Glück gelingt mir noch der normale Windows-Start. Das Problem genau: Schalte ich an und drücke sofort F2 erscheint ein Menü-Bild wie folgt: InsydeH20 Setup mit den Kategorien Information (meine Kennwerte) – Main (welche Option muss ich einstellen, insbesondere Boot Menü Enabled oder Disabled?) -Security (jetzt unwichtig) – Boot: Boot priority order, habe ich auf 1. USB HDD: Kingston DataTraveler 2.0 (das ist meine Kaspersky-Rettungs-Disk) gestellt – Exit: Welche Option muss ich da einstellen? Ich habe vieles versucht. Entweder es erscheint: “Invalid or damaged Bootable partition_” (Strich blinkt). Es lässt sich nichts fortsetzen. Wann USB-Stick rein-raus? Er spricht immer an, das sehe ich am Blinken, aber es erscheint nie das Kaspersky-Anfangsbild “Rescue Disk 10”.
G Data Clean up brachte: “Auf ihrem System wurde nichts Ungewöhnliches gefunden”.
Danke für Ihre erneute Hilfe.
Mit freundlichen Grüßen
Carlos
Sehr geehrter Herr Carlos,
diese Einstellung von Ihnen sollte reichen:
>Boot priority order, habe ich auf 1. USB HDD: Kingston DataTraveler 2.0 (das ist meine >Kaspersky-Rettungs-Disk)
Sie können noch Boot Menü Enabled einstellen, dann sollte beim Booten das Boot-Menü zur Auswahl erscheinen.
“Invalid or damaged Bootable partition_” bedeutet, dass von Ihrem USB-Stick nicht gebootet werden kann. Ich nehme an, Sie haben die heruntergeladene ISO-Datei einfach auf den USB-Stick kopiert. Das hatte ich nicht geschrieben, sondern Sie sollten die ISO-Datei auf eine CD/DVD kopieren und dann von der CD/DVD booten.
Ein USB-Stick lässt sich auch verwenden, muss dann jedoch entsprechend angelegt werden, damit er boot-fähig ist. Das erfolgt bei der Rescue Disk mit einem speziellen Tool von Kaspersky. Sie finden hier die Anleitung dazu: https://support.kaspersky.com/de/8092
In Kurzfassung: Tool herunterladen, aufrufen, ISO-Datei auswählen, Laufwerk für den USB-Stick auswählen und das Erstellen starten.
Falls Sie wichtige Daten auf dem USB-Stick haben, sollten Sie diese vorher woanders hin kopieren bzw. sichern, denn beim Anlegen der Rescue Disk auf dem USB-Stick wird der alte Inhalt gelöscht.
Viel Erfolg und viele Grüße
Michael-Alexander Beisecker
Sehr geehrter Herr Beisecker,
danke für Ihre bisherige Hilfe, aber leider besteht das Problem weiterhin. Ausführlicher Bericht:
Da ein zweiter mit Sicherheit nicht infizierter Computer leider kein CD-Laufwerk besitzt, musste ich einen USB-Stick verwenden. Zusätzlich: Mein auffälliger Rechner akzeptiert für die Erstellung der Kaspersky Rescue Disk dieses bei mir vorhandene Medium nicht: “Platinum DVD Format Plus, DVD+RW 4,7 GB, 4x Speed”. Welche CD/DVD müsste ich kaufen? (Die Antwort wäre mir für weitere Aktionen wichtig).
Die Rescue Disk scannte mit allen möglichen Suchoptionen: Versteckte Autostart-Objekte, Dateimanager, Kaspersky Registry Editor, Kaspersky Rescue Disk (das verstehe ich nicht, untersucht sich Kaspersky selbst?), Webbrowser, sda1, sda2, sda3, sdb1.
Gefunden: Legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen. Objekt: sda3/ProgramFiles (86)SavingsSidekick/Uninstaller.exe. Gefunden: (in rot) not-a-virus: Heur: AdWare.Win32.Agent.heur. Gefährdungsgrad: Mittel. Empfohlen: Quarantäne. Wurde in Quarantäne verschoben. Vollständiger Bericht: Adware:2, sonst alles 0.
Ich habe den Scan mit dem neuestem update der Kaspersky Datenbanken (Version 10.0.32.17 vom 13. 12.2015 07:07) wiederholt. Kein anderes Ergebnis. Es sind keine aktiven Bedrohungen vorhanden. Adware: 2. Unter Quarantäne wird als 3 Ereignisse 3mal dasselbe angezeigt: Adware not-a-virus: Heur: Asda3/ProgramFiles(x86)/Savir. Mittel.
Ich habe dann über Norton 360 Premier die Leistungsoptimierung durchgeführt und anschließend über Outlook E-Mails durchgesehen. Nach wenigen Minuten kam von Norton die Leistungswarnmeldung: CPU wird stark beansprucht durch Internet-Explorer. iexplore.exe. Prozess-ID 5916 CPU (in rot): 69% von mindestens einer CPU, später die gleiche Warnung mit der Angabe: Prozess-ID 1040 CPU 93% von mindestens einer CPU. Während ich dies schreibe, erschienen zwei weitere Warnmeldungen: svchost.exe. stark beansprucht. 84 MB Datenträgerschreibvorgang (nach fünf Zeilen) und dann: mrt.exe. Prozess-ID 3728 CPU Datenträgerlesevorgang (in rot) 130 MB. (So schnell kann ich nicht alles abschreiben, wie die Meldungen erscheinen und wieder verschwinden).
Erwähnen möchte ich noch: Ich habe auf meinem PC die Programme Glary Utilities, CCleaner, Wise Registry Cleaner und Update Detector laufen. Gespeichert sind noch andere Tuningprogramme, die aber nicht aktiv sind. Der Computer reagiert sehr langsam und mitunter gar nicht.
Ich fühle mich immer mehr bedrängt und bitte um Ihre weitere Hilfe.
Mit freundlichen Grüßen
Carlos
Sehr geehrter Carlos,
ich empfehle das Deinstallieren von Glary Utilities, Wise Registry Cleaner und Update Detector. Deinstallieren Sie auch CCleaner wenn es nicht die aktuellste Version ist.
Alle diese Tools laufen im Hintergrund und belasten Ihre CPU, alle greifen auf das Internet zu und damit auch auf den Internet Explorer, wenn dieser Standard-Browser ist.
Dazu besteht bei solchen Tuning-Tools immer die Gefahr, dass die zu Fehlfunktionen führen – und man bei einem aktuellen Windows bringt das Bereinigen der Registry keinen Vorteil (abgesehen von Schadprogramm-Befall).
Sollte die CPU dann immer noch belastet sein, setzen Sie den Internet Explorer zurück: https://support.microsoft.com/de-de/kb/923737
Mit freundlichen Grüßen
Michael-Alexander Beisecker
Sehr geehrter Herr Beisecker,
danke für Ihre Nachricht vom 17.12.2015, die ich erst heute gesehen habe, da ich keine E-Mail- Benachrichtigung erhalten hatte. Inzwischen hat sich der Sachverhalt wie folgt anders entwickelt:
Ich hatte in der Weihnachtszeit festgestellt, dass auf meinem PC das November-Upgrade Windows 1511 nicht installiert war. Schließlich kam ich dahinter, dass mein Norton 360 die Installation verhinderte. Nachdem ich Norton deinstalliert hatte, klappte alles. Dasselbe Problem berichten User von Avira u. a. (Auf dem PC meiner Lebensgefährtin mit Kaspersky musste ich manuell nachhelfen, es ging dann aber rasch).
Ich habe mit der Deinstallation von Norton sozusagen die rote Warnlampe herausgedreht. Ich habe keine Infos mehr über die Belastung der CPU. Eine letzte Warnmeldung von Norton lautete sogar “Belastung zu 100 %”).
Norton selbst hat bestimmt große Leistungsreserven verbraucht.
Woran soll ich mich jetzt orientieren?
Erst dann reagieren, wenn der Computer extrem langsam läuft oder alles zusammenbricht? Welchen Wert hatten die Warnmeldungen von Norton?
Ich habe jetzt den Windows Defender aktiviert (was gar nicht einfach möglich war).
Reicht der Windows Defender nach jetzigem Erkenntnisstand als Sicherungssystem aus? Ich kaufe online ein und betreibe online-banking.
Entsprechend Ihrer Empfehlungen habe ich heute Wise Registry Cleaner, Update Detector, MyDefrag (war das vielleicht von Windows?) und Quick Startup deinstalliert.
(Die beiden letzteren hatte ich nicht erwähnt). Glary Utilities habe ich fürs erste noch behalten, weil ein Freund meinte, damit hätte er seit Jahren gute Erfahrungen gemacht. Ist Windows 10 so gut, dass ich beruhigt auf alles genannte verzichten kann? Ich stelle ja jetzt eine wesentlich andere Situation dar. Trotzdem auch weg mit Glary Utilities?
Ich danke Ihnen für Ihre Hilfe.
Mit freundlichen Grüßen
Carlos
Sehr geehrter Herr Carlos,
Sie können Norton 360 jetzt wieder installieren, da das Update ja geklappt hat. Windows Defender ist kein zuverlässiger Virenschutz, da ist Norton 360 deutlich besser.
Die Infos zur Belastung der CPU erhalten Sie bei Bedarf auch über den Task-Manager. Dazu drücken Sie Strg+Alt+Entf und wählen dann Task-Manager. Der Task-Manager zeigt Ihnen in der Spalte CPU oben die Gesamtbelastung an, darunter die Belastung durch die jeweils laufenden Programme. So finden Sie Leistungsfresser, die Sie deinstallieren sollten, wenn Sie diese nicht unbedingt brauchen.
Es ist sehr gut, dass Sie die ganzen Tools deinstalliert haben. Jetzt sollte der Rechner schon etwas entlastet sein. Die Glary Utilities können ruhig auch weg.
MyDefrag ist nicht von Windows und unnötig, da Windows eine eigene Defragmentierungsfunktion enthält und regelmäßig anwendet.
Mit freundlichen Grüßen
Michael Beisecker