Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: task.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.05.2006, 13:04   #1
te4cup
 
task.exe - Standard

task.exe



Hallo, meine Kiste kommt in unregelmässigen Abständen ziemlich ins Stocken. Es fängt nicht bei Neustart an, sondern immer ca. nach einer halben Stunde. Oft, wenn ich am zoggen bin.

Dann schaute ich in den TM und sah einen Task namens task.exe, der so ziemlich meine ganz Rechenleistung beansprucht. Nur sehe ich keine Gegenleistung. Ich habe dann den Task beendet und die Datei gelöscht. Nebenbei auch noch gleich eine fast gleichnamige Datei im Prefetch Ordner, die ich auch gleich gelöscht habe.

War das ein Wurm, Trojaner, Malware? Ich hab die Datei nicht heraufgeladen vor dem löschen.. Wenn ja, wieso erkennt Antivir diesen dann nicht? Beim googlen fand ich heraus dass dieser Task schon viele geärgert hat, auch welche im Jahr 2005.

Der Übeltäter war in C/Programme/ZUM/

fragt mich nicht was ZUM ist. Im Ordner ZUM hats jetzt nur noch eine Datei drin: acrbat.dll

Kommt die Kagge jetzt von Adobe oder was?

Danke fürs durchlesen und antworten

te4cup

Alt 13.05.2006, 13:22   #2
Sunny
Administrator
> Competence Manager
 

task.exe - Standard

task.exe



Hast du denn nun die "task.exe" komplett löschen können? Und in welchem Ordner war sie denn noch zu finden außer im PREFETCH?

Ist die Systemleistung immer noch sehr beansprucht, oder ist es nach dem löschen besser geworden?
Poste mal zusätzlich ein hijacklog um sicher zu gehen!

Gruß
Daniel
__________________

__________________

Alt 13.05.2006, 13:25   #3
BataAlexander
> MalwareDB
 
task.exe - Standard

task.exe



Hallo,

hier mehr zu dem von Dir beschriebenen, poste ein HijackThis Log File, Anleitung in meiner Signatur.

Gruß

Schrulli
__________________
__________________

Alt 13.05.2006, 13:31   #4
te4cup
 
task.exe - Standard

task.exe



Danke für die schnell Antwort.

Ja, die Datei task.exe konnte ich komplett löschen. Sie war im Ordner

C/Programme/ZUM/

Wie ich schon sagte weiss ich nicht was ZUM heissen soll, noch habe ich sowas irgendwann installiert.

Nein, nach dem löschen ist wieder alles in Ordnung.

Den hjacklog kann ich leider nicht posten, da ich vergessen habe ihn vor dem löschen zu machen, sorry.

Ich hab beim googeln irgendwo gelesen, dass task.exe Keyboard aufzeichnen würde. Anderswo habe ich gelesen, dass die Datei nicht gefährlich sein soll, wenn sie NICHT im Windows Ordner/Unterordner ist.

Naja, eigentlich ist ja alles wieder gut jetzt. Auch wenns ein Trojaner war und der 1337 haxx0r jetzt meine Tastaturaufnahmen hat, wird ihm das nichts bringen da ich keine wichtigen Passwörter habe...

edit:

Zitat:
Zitat von [Gc]Sunny
Hast du denn nun die "task.exe" komplett löschen können? Und in welchem Ordner war sie denn noch zu finden außer im PREFETCH?
Ich hab mich vllt. unklar ausgedrückt. Die eigentliche task.exe war in diesem ZUM Ordner. Im Prefetch Ordner war irgendeine task287342.xyz (Zahlen stimmen nicht und Dateityp weiss ich auch nicht mehr)

edit2:

also wenn ich mir so die anderen Dateien im Prefetch Ordner anschaue, muss die Datei irgendwie so geheiseen haben:

TASK.EXE-295A837P.pf

Geändert von te4cup (13.05.2006 um 13:41 Uhr)

Alt 13.05.2006, 13:37   #5
BataAlexander
> MalwareDB
 
task.exe - Standard

task.exe



Hallo,

einen Hijack Thios Log kannst Du immer noch posten.
Bei der von Dir beschriebene Datei gibt es imho keine LogRoutine für Passwörter etc.
Zu Deiner Sicherheit könntest Du wie gesagt das Log posten, denn welche Passwörter sind schon unwichtig?

Hallo Sunny

Gruß

Schrulli

__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 13.05.2006, 13:49   #6
te4cup
 
task.exe - Standard

task.exe



Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:45:03, on 13.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Auch wenns steht, ich verwende den IE nicht, FF rules

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\msnmsgr.exe
G:\Valve\Steam\Steam.exe
C:\Programme\HLSW\hlsw.exe
g:\valve\steam\steamapps\fafi90\counter-strike\hl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\HiJack0r\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ShowBarObj Class - {79A002FB-C126-462D-B4A7-81D6B42D1666} - C:\Programme\ZUM\acrbat.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll
O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: FanSpeedNT Service - Unknown owner - C:\Dokumente und Einstellungen\Fabio\Eigene Dateien\FanSpeed\fanspeedNT.exe" (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe



edit: r341 names changed ;-)

Alt 13.05.2006, 13:57   #7
Sunny
Administrator
> Competence Manager
 

task.exe - Standard

task.exe



dann lade mal folgende Dateien bei Virustotal hoch:
C:\Programme\ZUM\acrbat.dll
C:\WINDOWS\system32\winvbie.dll
C:\WINDOWS\system32\msiev32.dll

und poste das Ergebnis hier rein.

Gruß
Daniel

[EDIT] das könnten die überbleibsel der "task.exe" sein...

[EDIT] Moin Schrulli...
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 13.05.2006, 14:01   #8
BataAlexander
> MalwareDB
 
task.exe - Standard

task.exe



Hallo,

fixe mittels HJT folgende Einträge:

O2 - BHO: ShowBarObj Class - {79A002FB-C126-462D-B4A7-81D6B42D1666} - C:\Programme\ZUM\acrbat.dll
O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll
O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll

Dann lade Dir Killbox, in meiner Signatur verlinkt, mit der Option "Delete File on Reboot -- "
folgendes reinkopierne:

C:\Programme\ZUM\acrbat.dll
C:\WINDOWS\system32\msiev32.dll
C:\WINDOWS\system32\winvbie.dll

klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",kopiere das zweite rein, erst beim letzten auf "yes"

Neustart

Lösche den Ordner c:\Killbox!

Jetzt scanne mit Panda und poste den scanreport

edit:Scannen ist hier nicht nötig, die Dateien sind eindeutig schädlich /edit

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 13.05.2006, 14:13   #9
te4cup
 
task.exe - Standard

task.exe



Also, hier die Screenshots:

acrbat.dll.gif
msiev32.dll.gif
winvbie32.dll.gif

An dieser Stelle nochmal herzlichen Dank für die Hilfe

Alt 13.05.2006, 14:20   #10
te4cup
 
task.exe - Standard

task.exe



Schrulli dein Lösungsweg ist mir klar, jedoch nicht, wie ich gleichzeitig alle drei Files markieren kann ohne jedes mal zu rebooten und das 3 mal.

edit:

sorry für doppelP!

edit2:

bin schnell für eine halbe Stunde weg, aslo sucht mich nicht :P

Alt 13.05.2006, 15:42   #11
te4cup
 
task.exe - Standard

task.exe



Hmm, irgendwie zeigts den edit button nicht mehr an.

Also ich hab die Dateien wie du gesagt hast gekillt. War also alles Adware.. tststs

Danke nochmals an alle die mir geholfen haben. Super Team

Antwort

Themen zu task.exe
abständen, adobe, antivir, beendet, datei, erkenn, erkennt, fängt, google, googlen, kis, leistung, malware, malware?, namens, neustart, ordner, prefetch, rechenleistung, troja, trojaner, unregelmässigen, worte, wurm, ziemlich




Ähnliche Themen: task.exe


  1. Task friert ein (win xp)
    Alles rund um Windows - 18.04.2013 (6)
  2. Task-Manager
    Überwachung, Datenschutz und Spam - 20.10.2009 (0)
  3. Unbekannter Task im Task-Manager Win XP
    Plagegeister aller Art und deren Bekämpfung - 16.01.2007 (1)
  4. Task-Manager
    Alles rund um Windows - 25.08.2006 (4)

Zum Thema task.exe - Hallo, meine Kiste kommt in unregelmässigen Abständen ziemlich ins Stocken. Es fängt nicht bei Neustart an, sondern immer ca. nach einer halben Stunde. Oft, wenn ich am zoggen bin. Dann - task.exe...
Archiv
Du betrachtest: task.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.