Hallo erstmal,
also ich habe folgendes Problem, in letzter Zeit habe ich häufig mehrere Firefox.exe'n' in meinem Taskmanager, obwohl ich nur einen Firefox geöffnet habe, und diese drücken natürlich gewaltig auf meine Systemperformance. Ich habe schon einige Forenbeiträge darüber gelesen doch bis jetzt noch keine Lösung des Problems gefunden. Da diese Lösungsbeiträge oft auf den Anwender speziell zugeschnitten waren. Nun hoffe ich das ihr mir helfen könnt ... hier ist meine HJT-Logfile :

Logfile of HijackThis v1.99.1
Scan saved at 18:03:45, on 23.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Wotan\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?prd=816&pver=7.1&sbp=DRM&plcid=0x409&clcid=0x409&ar=PersonalV2&challenge=AAEAASfXXLHOZN4s5OYoG*cLdzUeEwKCqFHaBxkINy6uS9Sp7zEnztg3VlxRGrC6uqYP8D5mX9Cx 3Uks347IX0E!1Uv7RRXW3W6bNp7i18mNlleHLRHipUf7MVBhZeNz11KiZp9i*FHrO2aeGll2X3nkcF7DvE9zUbC3krMOyyw4TL!ii4vtnnFCHAIhxfMqSQA07s3Wb4SMZlUuChrgaCCA*m*nUKYK89 kh*mViYa*ZeT*Q9TgO*JLrjhH*e7hQnYUrm0Ih27PY&DRMVer=1.4&filename=file://D:%5c-Produced-%5c%5b--Reason2.5-%5d%5cWAV%5cKurt%26Falk%20-%20Herr%20Radtke.wma
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{05987D6F-D89E-40BD-8F67-CAC2600B35F9}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{05987D6F-D89E-40BD-8F67-CAC2600B35F9}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS3\Services\Tcpip\..\{05987D6F-D89E-40BD-8F67-CAC2600B35F9}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Über Hilfe würde ich mich sehr freuen da mir meine Virensoftware und andere Tools auch nicht weiterhelfen können und ich mittlerweile keinen Rat mehr weiß. Seltsam kommt mir die häufige auftretende Sarah.dll vor "O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll", aber ihr wisst da sicherlich besser Bescheid als ich.

Na dann schon mal vielen Dank im vorraus und
bis dann der schinkenmann.

Vielen dank für eure "kompetente" Hilfe !!! Wenn ich das nächste mal ein Problem habe weiß ich sofort an wenn ich mich wenden muss !!! Nochmals vielen dank ihr seid einfach die klügsten und tollsten die ich jemals in einem Forum erlebt habe, aber ich möchte hier weder pathetisch oder sarkastisch wirken, doch ist mir anscheinend beides misslungen ...
Tja wie gesagt, dann wünsche ich euch noch ein schönes Leben und das ihr auch mal eine Frau abkriegt - ihr Freaks !!!

Ohhh, mit kommen die Tränen!

Die Welt ist wirklich ungerecht!

Dann mach´s gut!

PS: Mal überlegt das dein Thread nach hinten durchgerutscht ist? Manchmal muss man den Thread eben wieder nach oben pushen.

Und wie wurde das Problem gelöst? Ich habe selbiges , aber hier lese ich keine Lösung dazu??

Zitat:

Zitat von MikeBln

Und wie wurde das Problem gelöst? Ich habe selbiges , aber hier lese ich keine Lösung dazu??

Habe auch grade heftige Probleme damit, nachdem ich Kerio Firewall installiert habe, die alle paar Minuten der Explorer.exe zurechnet eine "Code injection" durchführen zu wollen, öffnet sich in meinem Taskmanager hundertfach die FireFox.exe ... selbst wenn ich FireFox wie jetzt offen habe, und dann schließe, bleiben die Einträge hundertfach erhalten ... die CPU Auslastung variiert dadurch auch ständig ...

gibt es nichts was man dagegen machen kann ohne das übliche "Neu-aufsetzen!"

da ich hier keine Edit Funktion finde, ich habe mal ein bisschen geschlußfolgert,
bekomme nun keine COde Injection Meldungen mehr.

Ich habe mir eine batch datei geschrieben, die die besagte Firefox.exe killt, egal wie oft sie drin ist, und ich hatte sie sicher 300 mal umdie drin.

Als alle firefox.exe Prozesse raus waren, habe ich im Process Explorer mitverfolgt, nach welchem Prinzip diese Exe datei den geöffnet wird.
Da diese firefox.exe datei, die sich dauernd öffnet keine Pfadangabe hat.

Kurz um, beendete ich die erste firefox.exe dauerte es keine Minute bis der Prozess "regedit32.exe" ausgerufen wurde, die Datei befindet sich in C:\WINDOWS\system32 falls ihr diesen Trojaner, oder was es auch ist, auch habt.

SIe ist Versteckt und Schreibgeschützt angelegt.
Mit dem Unlocker habe ich diese dann einfach mal gelöscht.
Die Verkettung muss jedoch weitreichender sein, da diese regedit32.exe (versehen mit einem JPEG Icon btw.) auch jedesmal neu erstellt wird.

Ich hab mir die Datei mal hier in Karantäne verwahrt, mal schauen ob man noch weiter nach vollziehen kann, woher der Mist kommt, muss tief verankert im System sein wie ich befürchte.

Meine bisherige lösung, ich habe meine erstellte batch datei einfach den selben titel + selben atribute verpasst und sie in den ordner gesteckt ... sie wird jedenfalls nicht ersetzt, jedoch jede Minute wieder aufgerufen ... also die umbennante batchdatei ...

Ich werde mir diese ominöse regedit32.exe mal mit ResHacker anschauen ... hoffe auf Tipps, wie ich das Problem vielleicht bei der WUrzel kriege :\

PS: Da der AUfruf der cmd konsole durch die batch datei schon nervt, gäbe es vielleicht eine etwas akzeptablere aushilfslösung dafür, das eine datei aufgerufen wird jede minute ?

Hi,

ich weiß ja nicht, was die Administration davon halten wird, dass wir hier in einem alten Thread sind, normal wird das nicht gerne gesehen. Dein zweiter Beitrag gefällt mir aber, eine gewisse Kreativität ist erkennbar, deshlab antworte ich hier mal.

Du meinst das Konsolenfenster, das geöffnet wird, wenn eine Batchdatei gestartet wird? Was hast Du denn in die Batch reingeschrieben? Wenn sie zu Ende ist, sollte das Fenster ja sofort wieder geschlossen werden, also am besten eine leere Batch nehmen, dann flackert das Fenster nur kurz auf und ist sofort wieder weg.

allerdings ist das nur ein Vermeiden von Symptomen, wie Du schon siehst, müssen wir herausbekommen, wo das Übel sienen Anfang genommen hat. Fertige ein HijackThis Log deines Systems an. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Jetzt benenne die Datei Hijackthis.exe um in HJT.exe. Dieser Schritt ist erforderlich geworden, da es Malware gibt, die das Programm ansonsten erkennt und sich vor ihm versteckt. Alle anderen Programme schließen (in deinem Fall: soweit machbar), nun HJT.exe starten, auf "Scan" klicken und das Log hier posten. Das liefert erstmal einen gewissen Überblick über dein System, manchmal ist dann auch schon erkennbar, wo ein Problem liegt, ansonsten können wir damit besser Vorschlägen, wie man am besten weitermacht.

Gruß, Karl