doppelter prozess im taskmanager!

MarkerMaker · 27.11.2007, 21:15

Hallo alle.
Ich glaube ich bin infiziert mit irgendwas.
also in meinen Taskmanager ist die Datei "ati2evxx.exe" doppelt
ati2evxx.exe ist eigendlich ne datei oder treiber von meiner grafikkarte und wird da normalerweise nur 1 mal angezeigt.
also hab ich mich mal auf die suche gemacht nach den namen "ati2evxx.exe"
und in C:/Windows/System32 ist diese datei namens "ati2evxx.exe".
wenn ich sie löschen will steht da das die datei gerade benutzt wird und nicht gelöscht werden kann.
Beide doppelte prozesse sind im taskmanager als Systemprozess.
und aufeinmal war mein pc völlig verrückt,jedes viedeo oder lied das ich abgespielt hab hat sich selbst beendet und die datei explorer.exe noch dazu dann blieb mein bild immer hängen und mein desktop verschwand für kurze zeit + taskleiste.
dann hab ich diese datei mal auf der seite virustotal.com hochgeladen um zu prüfen ob sie von paar AV's erkannt werden damit ich sie löschen kann.

keiner hat was gefunden ausser dieser "Webwasher Gateway" irgendwas mit Block.0 stand da hab ich vorher noch nie gesehen und dann
1 tag später hab ich diese! ya genau dieselbe datei nochmal gescannt und dann hat nochnichtmal der webwasher was gefunden als wenn man diese datei ausgetauscht hätte.

poste hier mal mein HijackThis log aber da steht bestimmt mal wieder nix drinen -.-

Logfile of HijackThis v1.99.1
Scan saved at 21:05:11, on 27.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sandboxie\Control.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe" -d "C:\Programme\VMware\VMware Workstation\\" -s ufad-p2v.xml (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

also ich hab ja diese 2 prozesse mit der genanten datei am laufen im taskmanager aber wenn ich in auf desktop->Start->Suchen gehe und da suche dann findet er nur in system 32 eine einzige datei mit diesen namen.
MERKWÜRDIG.....

ich weiss nich was ich noch machen soll kein AV programm erkennt das geschweige den ad aware se,tune up utilities 2007,spybot search and destroy.....u.v.m.
ws soll ich jetzt machen

?

TrojanHunter · 27.11.2007, 21:20

moin
lass das mal bei virustotal checken C:\Programme\Sandboxie\Control.exe

http://www.trojaner-board.de/71542-a...sandboxie.html

ich ging davon aus dass er virus total kennt. und selbst wenn nicht bei " virus total" liefert google beim ersten treffer die seite....

Trojanerade · 27.11.2007, 21:24

Ohne ihm einen Link zu Virustotal zu hinterlassen......

VirusTotal - Kostenloser online Viren- und Malwarescanner

Bitte Poste das komplette Ergebnis mit MD5 und Hash auch wenn nichts gefunden wurde!

Mfg Trojanerade

Ps:du hast Sygate noch immer nicht deinstaliert ,du wurdest bereits im anderen Theard drum gebeten.
Die Dienste die du nich deaktiviren konntest sind Sygate und Vmware ...Deinstaliere Vmware sowie Sygate und lass nur die WIndowsfirewall laufen!Du hattest wie erwähnt beide PWF laufen gehabt das hätte dein sys auch zerschiessen können nur so zur Info...

doppelter prozess im taskmanager!

Plagegeister aller Art und deren Bekämpfung: doppelter prozess im taskmanager!