Hallo zusammen,
gestern merkte ich, dass ich den Spy Falcon auf meinem Rechner hatte. Ich konnte ihn vergleichsweise einfach entfernen, dann hatte ich aber immer noch eine Unzahl von Prozessen im Task Manager, die meisten mit Namen win~#.tmp.exe, z.B. win17.tmp.exe. Mittels Cleanup, DrWeb-Cureit, MWAV und Ewido habe ich verschiedene Probleme gefunden und den Hijacker.Small Virus gekillt. Außerdem habe ich SpyBot und Ad-Aware SE laufen lassen und die win~#.tmp.exe files aus Windows\Temp gelöscht.
Jetzt sieht mein System eigentlich fast normal aus, aber es sind immer noch zu viele offene Tasks da, und der Tray zeigt nicht alle Symbole an.
Außerdem wundere ich mich, warum einige Dateien in windows\system32 "zweimal" existieren, Beispiel wuauclt.exe und wuauclt1.exe. Und was ist der Prozess fxssvc.exe? Ich glaube nicht, dass er schon letzte Woche lief.

Vielleicht kann jemand das hier checken?

Logfile of HijackThis v1.99.1
Scan saved at 20:28:57, on 26.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Down2Home\Down2Home.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\USERNAME\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - Startup: Down2Home.lnk = C:\Programme\Down2Home\Down2Home.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126234297162
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe


Besten Dank!

Hallo antineutrino,
du meinst dieses ?C:\WINDOWS\system32\fxssvc.exe
Das benötigst du wenn du faxen willst.
Welche Dateien werden deiner Meinung nach zweimal angezeigt ? Im Log sehe ich nur eine"wuauctl" und die gehört dort auch hin.
Dieses Programm kannst du sicher identifizieren ?
C:\Programme\Down2Home\Down2Home.exe
Ich würde einen EScan vorschlagen,da ist mehr zu sehen.
Hier auf der Startseite unter "Anleitungen,FAQ,Links" findest du den Download und die Anleitung dazu.Lies sie aufmerksam und halte dich strikt daran,sonst funktioniert der Scan nicht ordnungsgemäß.
Irrlicht

Hallo irrlicht,
zuerst einmal vielen Dank für die rasche Antwort.
Wie ich erwähnte hatte, habe ich schon mal MWAV laufen lassen, was eine eScan Variante ist. Trotzdem bin ich deinem Rat gefolgt und habe nochmal eScan laufen lassen. (Ich musste dafür Symantec AntiVirus deaktivieren)
Ich denke, dass Ergebnis ist nicht wirklich hilfreich: Keine Viren, aber angebliche Adware. Meines Erachtens ist das aber zumindest bei den letzten zweien keine Adware in meinem Fall, nur zufällig verwenden andere Programme die gleichen Dateinamen verwendet, denn die für die Adware typischen Einträge in der registry gibt es nicht und auch keine Tasks mit dazu passendem Namen.
Hier aber die interessanten Meldungen von eScan:
Mon Feb 27 23:46:32 2006 => Offending Folder found: C:\Programme\editpad
Mon Feb 27 23:46:32 2006 => Object "editpad Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Feb 27 23:46:35 2006 => Offending file found: C:\Dokumente und Einstellungen\USERNAME\Anwendungsdaten\mozilla\firefox\profiles\6ynt5obm.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\defaults\preferences\options.js
Mon Feb 27 23:46:35 2006 => System found infected with limewire Spyware/Adware (options.js)! Action taken: No Action Taken.
Mon Feb 27 23:46:52 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
Mon Feb 27 23:46:52 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.

Zu fxssv.exe, ist es für den Faxdienst normal, dass wenn ich ihn mit dem Taskmanager beende, er nach fünf Sekunden wieder da ist?
Ich befürchte, dass eventuell ein Virus Windows-Prozesse imitiert.
Es wird auch die svchost.exe 5 mal im Task-Manager angezeigt.

Zu den doppelten Dateien: ich habe mich nicht ganz klar ausgedrückt, wuauclt wird nur einmal als Task angezeigt, aber in meinem system32-Ordner gibt es zusätzlich zur wuauctl.exe eine wuauctl1.exe

Also, bin weiterhin offen und dankbar für Anregungen.

Was mir gerade noch auffällt, ist sehr merkwürdig. Nachdem ich den eScan gemacht habe, hat der eScan Hintergrund-Monitor einen Virus gefangen, und zwar aus
C:\System Volume Information\_restore{CAFF65B2-142A-4726-831D-B69
2153FC323}\RP216\A0059965.exe

den Trojan-Downloader.Win32.Zlob.hl

Aus dem Ordner habe ich vorgestern mit MWAV schon Viren gekillt. Also stimmt doch hier was nicht?

Noch was vergessen, Down2Home habe ich selber vor einem halben Jahr installiert und denke, dass es sicher ist. (Bandwith Monitor)