Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Firefox im Task manager immer offen in Verbindung mit "Calculator.exe"

Firefox im Task manager immer offen in Verbindung mit "Calculator.exe"


Log-Analyse und Auswertung: Firefox im Task manager immer offen in Verbindung mit "Calculator.exe"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 18.01.2009, 14:53   #1
mYaa
 
Firefox im Task manager immer offen in Verbindung mit "Calculator.exe" - Standard

Firefox im Task manager immer offen in Verbindung mit "Calculator.exe"


Also ihr da draussen ich bin jetzt ganz frisch hier und ich poste den Log von mir und von meiner Freundin weil die dasselbe Problem hat

Zuerst zu mir :
Im Taskmanager ist immer "firefox.exe" aufgeführt obwohl er aus ist. Beendet man ihn manuel mit Prozess beenden oder Prozessstruktur beenden. dann is er für 2 sec weg und dann erscheint ein Prozess : "calculator.exe" die verschwindet schnell und die alte exe "firefox.exe" erscheint wieder.
Mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:47:07, on 18.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\avgnt.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Razor\razerhid.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Razor\razerofa.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mote\Desktop\Hjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [DeathAdder] C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Razor\razerhid.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\RunOnce: [*a] C:\WINDOWS\system32\calculator.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [a] C:\WINDOWS\system32\calculator.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\avesvc.exe

--
End of file - 6216 bytes


Zu meiner Freundin:
Eigentlich dasselbe außer wenn sie den Prozess "Firefox.exe" beendet dann komm ein systemfehler und zwar :
C:\Dokumente&Einstellungen\etc...\Calculator.exe
konnte nicht gefunden werden, dennoch wird die "firefox.exe erneut aufgeführt.
Ihr Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:51:30, on 18.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Firefox\firefox.exe
D:\Programme\VLC\vlc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.2.0.7\IPSBHO.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4606 bytes


Bitte um eure Hilfe, ihr schafft das ich glaub an euch =)

Alt 18.01.2009, 15:09   #2
Haengdichweg
 
Firefox im Task manager immer offen in Verbindung mit "Calculator.exe" - Standard

Firefox im Task manager immer offen in Verbindung mit "Calculator.exe"


Moin,

such mal bitte calculator.exe und firefox.exe auf deinem PC (können vielleicht mehrmals drauf sein). Es muss ein Hacken bei "alle Ordner und Dateien Anzeigen" sein.

Lad alle Dateien nach einander auf Virustotal.com hoch. Poste die Logs.
__________________
Alt 18.01.2009, 18:48   #3
mYaa
 
Firefox im Task manager immer offen in Verbindung mit "Calculator.exe" - Standard

Firefox im Task manager immer offen in Verbindung mit "Calculator.exe"


Also ich habe 2 mal Firefox.exe einmal die normale und einmal die .pf datei "FIREFOX.EXE-038CBE77.pf"


Die logs dazu :
Firefox.exe :
File size: 307704 bytes
MD5...: 8da0a66cb74fcbb393038e37e0f691ba
SHA1..: d2a281e7137101e40fbdca6989a257ddc753bc92
SHA256: 12c7ecab351afae4541577c76316fceee5677eb1bcd7a0568d3458ba81bd9fe1
SHA512: 4615b89188b67bc05b6ef1224582dc0d0a76e6598136c562eaa33fbef10b826a
87a2d32450c530856058c90c3ceb091821a5627dc84bfec0ba9dd73f6a264071
ssdeep: 6144:7+DEXE1Vxo8ISv+CgLNWLEXE1Vxo8ISv:7+Tjxo8ISXgJW7jxo8IS
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4015a0
timedatestamp.....: 0x4934ead8 (Tue Dec 02 07:59:20 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe65 0x1000 5.84 61ff7a46d805784c3bae321e1cb2756a
.rdata 0x2000 0x956 0xa00 4.87 80e731220ab0922d1be3ef9b26bc2e68
.data 0x3000 0x384 0x200 0.35 514935a309cd6ea6d2ab5a7a848d5744
.rsrc 0x4000 0x47530 0x47600 6.23 f10f5993312b1a5c0a84815ab7db62b0
.reloc 0x4c000 0x506 0x600 2.39 6f0ce7b6be049787745d15d90be5ef91

( 7 imports )
> xul.dll: XRE_main, XRE_GetBinaryPath, XRE_FreeAppData, XRE_GetFileFromPath, XRE_CreateAppData
> xpcom.dll: NS_LogInit, NS_CStringContainerFinish, NS_CStringContainerInit2, NS_LogTerm
> nspr4.dll: PR_GetEnv, PR_smprintf_free, PR_SetEnv, PR_smprintf
> plc4.dll: PL_strcasecmp
> USER32.dll: MessageBoxA
> MOZCRT19.dll: _crt_debugger_hook, _controlfp_s, _invoke_watson, _except_handler4_common, _decode_pointer, _onexit, _lock, __2@YAPAXI@Z, _vsnprintf, __3@YAXPAX@Z, wcslen, _amsg_exit, __wgetmainargs, _cexit, _exit, _XcptFilter, exit, __winitenv, _initterm, _initterm_e, _configthreadlocale, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, _encode_pointer, __set_app_type, _terminate@@YAXXZ, _unlock, __dllonexit
> KERNEL32.dll: IsDebuggerPresent, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, SetUnhandledExceptionFilter, InterlockedCompareExchange, Sleep, InterlockedExchange

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=8da0a66cb74fcbb393038e37e0f691ba' target='_blank'>http://www.threatexpert.com/report.aspx?md5=8da0a66cb74fcbb393038e37e0f691ba</a>


der .pf Log :
AVG 8.0.0.229 2009.01.18 -
Prevx1 V2 2009.01.18 -
weitere Informationen
File size: 84206 bytes
MD5...: 3c884250b7ea38841c3ba8a8b7fa1860
SHA1..: 818ee4500c344b72b4de094d070fc213c33d3f8e
SHA256: e0a1103ea9fc0f7b767c9f8d8f8c2f8504853e2563729e143de24fd7c6ccd551
SHA512: ac795cfbfcc60e2f73936b98bfe8e2dce786137d835b61a51e42738353f2a1cf
3ece437e1fa12387f036291f292d0814c6f3ad4f33c2c8dc2d925a0b6c110208
ssdeep: 768:aM4YrtixThCEkBYevC0oE2UlXdKq0X+iFdn/Dlt2aS9MHfktvZMy83xibPP:
b4Yrt0oEkNZtXlXd6+KnroiOxx80bX
PEiD..: -
TrID..: File type identification
Microsoft Windows XP Prefetch file (98.9%)
LTAC compressed audio (v1.71) (1.0%)
PEInfo: -

Bei calculator genau dasselbe nur diese 2 die eine EXE und die PF
die logs dazu von Virustotal:

calculator.exe:
ntivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.18 BehavesLike.Win32.ProcessHijack!IK
AhnLab-V3 2009.1.15.0 2009.01.17 Win-Trojan/Buzus.61802
AntiVir 7.9.0.57 2009.01.18 TR/Dropper.Gen
Authentium 5.1.0.4 2009.01.17 W32/TrojanX.AYJQ
Avast 4.8.1281.0 2009.01.16 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.18 Generic11.OK
BitDefender 7.2 2009.01.18 Trojan.Buzus.BH
CAT-QuickHeal 10.00 2009.01.17 Win32.VirTool.Injector.gen!B.3
ClamAV 0.94.1 2009.01.18 Trojan.Buzus-1494
Comodo 935 2009.01.18 -
DrWeb 4.44.0.09170 2009.01.18 Trojan.MulDrop.27664
eSafe 7.0.17.0 2009.01.18 -
eTrust-Vet 31.6.6312 2009.01.17 Win32/CInject.J
F-Prot 4.4.4.56 2009.01.17 W32/TrojanX.AYJQ
F-Secure 8.0.14470.0 2009.01.18 Trojan.Win32.Buzus.mex
Fortinet 3.117.0.0 2009.01.15 PossibleThreat
GData 19 2009.01.18 Trojan.Buzus.BH
Ikarus T3.1.1.45.0 2009.01.18 BehavesLike.Win32.ProcessHijack
K7AntiVirus 7.10.594 2009.01.17 Backdoor.Win32.Bandok.AAA
Kaspersky 7.0.0.125 2009.01.18 Trojan.Win32.Buzus.mex
McAfee 5498 2009.01.17 BackDoor-CSN
McAfee+Artemis 5498 2009.01.17 BackDoor-CSN
Microsoft 1.4205 2009.01.18 VirTool:Win32/Injector.gen!B
NOD32 3774 2009.01.17 -
Norman 5.93.01 2009.01.16 W32/Bandok.AAA
nProtect 2009.1.8.0 2009.01.16 Trojan/W32.Buzus.184875
Panda 9.5.1.2 2009.01.18 -
PCTools 4.4.2.0 2009.01.18 -
Prevx1 V2 2009.01.18 Malicious Software
Rising 21.12.62.00 2009.01.18 -
SecureWeb-Gateway 6.7.6 2009.01.18 Trojan.Dropper.Gen
Sophos 4.37.0 2009.01.18 -
Sunbelt 3.2.1835.2 2009.01.16 Trojan.Win32.Buzus.mex
Symantec 10 2009.01.18 Trojan Horse
TheHacker 6.3.1.5.222 2009.01.17 Trojan/Buzus.xgu
TrendMicro 8.700.0.1004 2009.01.16 -
VBA32 3.12.8.10 2009.01.17 Trojan.Win32.Buzus.mgy
ViRobot 2009.1.17.1563 2009.01.17 -
VirusBuster 4.5.11.0 2009.01.18 -
weitere Informationen
File size: 61802 bytes
MD5...: c38f7e1c56a0c5f5b0e258e937d28985
SHA1..: 1df38b151b57a791005c689ab45c445fe3eb5eb9
SHA256: a5104659931182575d0366e3d872ae8e3504f85175b9d11fa51d681c96177492
SHA512: 93fcd1cecdca7a22a1a692b36f154de3a8b57f8f0ac44b1e6d445ced36e88bb8
6c457d4244aa0a9ca82ffb5953bbb7a04b1cc680f2561b342b45f174492f5ea1
ssdeep: 1536:MYrs4yPoTCAyjaQodV3/mXz+VW/ZjtHFREmwI:rOPK7yjTmV4SGNtEE
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402bc6
timedatestamp.....: 0x487cfab3 (Tue Jul 15 19:29:55 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1d5c 0x1e00 5.89 8b2cae05280d0c9df0f4241fcc44b6cd
.rdata 0x3000 0x224 0x400 2.82 6100e16cb8b970a7371cf559e33a15a5
.data 0x4000 0x3d4 0x400 5.40 d6950240c28a898bbfd171c26f6894c2

( 2 imports )
> MSVCRT.dll: strcpy, strcmp, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, strcat, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, strlen, __setusermatherr, memset
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA

( 0 exports )


Die calculator.pf
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.18 -
AhnLab-V3 2009.1.15.0 2009.01.17 -
AntiVir 7.9.0.57 2009.01.18 -
Authentium 5.1.0.4 2009.01.17 -
Avast 4.8.1281.0 2009.01.16 -
AVG 8.0.0.229 2009.01.18 -
BitDefender 7.2 2009.01.18 -
CAT-QuickHeal 10.00 2009.01.17 -
ClamAV 0.94.1 2009.01.18 -
Comodo 935 2009.01.18 -
DrWeb 4.44.0.09170 2009.01.18 -
eSafe 7.0.17.0 2009.01.18 -
eTrust-Vet 31.6.6312 2009.01.17 -
F-Prot 4.4.4.56 2009.01.17 -
F-Secure 8.0.14470.0 2009.01.18 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.18 -
Ikarus T3.1.1.45.0 2009.01.18 -
K7AntiVirus 7.10.594 2009.01.17 -
Kaspersky 7.0.0.125 2009.01.18 -
McAfee 5498 2009.01.17 -
McAfee+Artemis 5498 2009.01.17 -
Microsoft None 2009.01.18 -
NOD32 3774 2009.01.17 -
Norman 5.93.01 2009.01.16 -
nProtect 2009.1.8.0 2009.01.16 -
Panda 9.5.1.2 2009.01.18 -
PCTools 4.4.2.0 2009.01.18 -
Prevx1 V2 2009.01.18 -
Rising 21.12.62.00 2009.01.18 -
SecureWeb-Gateway 6.7.6 2009.01.18 -
Sophos 4.37.0 2009.01.18 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.18 -
TheHacker 6.3.1.5.222 2009.01.17 -
TrendMicro 8.700.0.1004 2009.01.16 -
VBA32 3.12.8.10 2009.01.17 -
ViRobot 2009.1.17.1563 2009.01.17 -
VirusBuster 4.5.11.0 2009.01.18 -
weitere Informationen
File size: 50584 bytes
MD5...: f763b994ae60b79eaa857f17e8bc05d1
SHA1..: fa18aa050880cf911e19434e0e02ad1cfcaeaf57
SHA256: 3cb1811e62e1895f5e8407a7d6067955f223dd5e8cfe886c11702e9508fc9179
SHA512: 9bf9462e3a82cb6893dec5d37b1003607f1914907908731dba5f2d8aad60921b
e05e313f1c83a2af7480b18e0b099969b3ba082a4c0f9f74cb318fb40444502c
ssdeep: 1536:ytBKkq0JfkR7dX/gxy+XZ+LC1MzYPphIgvon:ytdDcB1YxlZaaXhhD
PEiD..: -
TrID..: File type identification
Microsoft Windows XP Prefetch file (98.9%)
LTAC compressed audio (v1.71) (1.0%)
PEInfo: -



Bei meiner freundin is eig das gleich....
Danke schonmal für die schnelle Hilfe
__________________
Alt 19.01.2009, 11:08   #4
Haengdichweg
 
Firefox im Task manager immer offen in Verbindung mit "Calculator.exe" - Standard

Firefox im Task manager immer offen in Verbindung mit "Calculator.exe"


OK.

Scan dein PC mit Malwarebytes und stell das Log hier rein.
Lass auch mal dein Antiviren Programm komplett durchlaufen.
Geändert von Haengdichweg (19.01.2009 um 11:15 Uhr)

Alt 19.01.2009, 11:55   #5
mYaa
 
Firefox im Task manager immer offen in Verbindung mit "Calculator.exe" - Standard

Firefox im Task manager immer offen in Verbindung mit "Calculator.exe"


Also es is so ich hab Firewall neu gemacht Virenprog neu gemacht logscherweise ohne inet =)

So durchlaufen lassen und er findet ihn auch :
"TR/Dropper.GEN" - calculator.exe

So im agesicherten Modus kann ich ihn nicht löschen...

Egal wo, ob Regedit , Autostart , MSCONFIG wo ich ihn auch rausnehm der haken z.b im autostart bei msconfig kommt nicht einfach wieder rein nach dem neustart , viel schlimmer er reggt sich neu und trägt sich neu in die Autostart liste ein. d.h jedesmal wenn ich ihn deaktivier dann kommt sofort nach dem neustart ein neuer Eintrag.Genauso im Viren Prog wenn ich ihn in die Quarantäne Verschiebe, er ist jetzt schon 10mal da drin...

Ich habe nun die möglichkeit wenn das VirenProg ihn findet löschen, Verweigern etc... egal was ich mach er reggt / installt sich neu und das Virenprogramm findet ihn logsicherweise erneut... und es geht unendlich so weiter, ich denk es es handelt sich um 2 prozesse die sich gegenseitig absichern.

In der Firewall kann ich ihn zwar blocken(Datei Selber und Zugriff auf das Inet) aber bringt nichts wenn ich die FF.exe blocke - weil ich denke er benutzt halt FF um hintenrum ins inet zu gehen - dann kann ich logischerweise meinen Browser nicht mehr benutzen.

Bitte tut was ^^ ich will nich formatiern habe echt keine lust dazu =)

In diesem Sinne


Alt 19.01.2009, 12:00   #6
Haengdichweg
 
Firefox im Task manager immer offen in Verbindung mit "Calculator.exe" - Standard

Firefox im Task manager immer offen in Verbindung mit "Calculator.exe"


Scan dein PC mit Malwarebytes und stell das Log hier rein.

Antwort

Themen zu Firefox im Task manager immer offen in Verbindung mit "Calculator.exe"
avira, bho, desktop, firefox, firefox.exe, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, intrusion prevention, logfile, manuel, nicht gefunden, port, problem, prozess, rundll, security, security suite, server, software, symantec, system, taskmanager, teamspeak, usb, windows, windows xp


« häufige werbung + langsames internet | TR/Qhost.kzn »


Ähnliche Themen: Firefox im Task manager immer offen in Verbindung mit "Calculator.exe"


  1. Windows 7 Aero Design funktioniert plötzlich nicht mehr // Service "Sitzungs-Manager für Desktopfenster-Manager" macht Probleme
    Alles rund um Windows - 18.04.2016 (10)
  2. Firefox öffnet immer einen neue Tab mit "month.com".
    Plagegeister aller Art und deren Bekämpfung - 18.08.2015 (6)
  3. win 7 firefox langsam "keine Rückmeldung" immer wieder Meldung "ein skript auf dieser Seite ist eventuell beschädigt...."
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (11)
  4. "Posadi17" ständig offen als Task im Taskmanager
    Plagegeister aller Art und deren Bekämpfung - 12.05.2014 (18)
  5. Möglicher Trojaner -Öffnen von Mozilla FireFox immer wieder "http://istart.webssearches.com"
    Plagegeister aller Art und deren Bekämpfung - 02.05.2014 (12)
  6. Beim Öffnen von Mozilla FireFox immer wieder "http://istart.webssearches.com"
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (9)
  7. Möglicher Trojaner -Öffnen von Mozilla FireFox immer wieder "http://istart.webssearches.com"
    Log-Analyse und Auswertung - 03.04.2014 (10)
  8. "The weDownload Manager" bei ebay.de und "dealfinder" auf ntv.de
    Plagegeister aller Art und deren Bekämpfung - 29.03.2014 (18)
  9. Windows 7 Firefox bringt immer wieder "Dieser Verbindung wird nicht vertraut"
    Log-Analyse und Auswertung - 21.03.2014 (15)
  10. Windows XP: Firefox öffnet immer als Startseite "u-search.net/?a=1&e=1"
    Log-Analyse und Auswertung - 06.09.2013 (13)
  11. Firefox: "Proxy-Server verweigert die Verbindung"
    Log-Analyse und Auswertung - 01.09.2013 (9)
  12. Langsamer Firefox, immer erscheint "Verbunden mit shpr.co..." !
    Log-Analyse und Auswertung - 17.04.2013 (19)
  13. Evtl. Fehlalarme bzgl. "hermes_V01" in Verbindung mit Firefox?
    Diskussionsforum - 07.08.2012 (2)
  14. Windows (Task-Manager, etc.) blockiert; "Achtung! Aus Sicherheitsgründen wurde Ihr Windowssystem..."
    Log-Analyse und Auswertung - 08.03.2012 (12)
  15. Internet Verbindung trennt sich andauernd - System mit hoher Speicherauslastung im Task Manager
    Log-Analyse und Auswertung - 26.12.2010 (18)
  16. Internet Explorer immer im Task Manager
    Log-Analyse und Auswertung - 03.10.2008 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Firefox im Task manager immer offen in Verbindung mit "Calculator.exe" - Also ihr da draussen ich bin jetzt ganz frisch hier und ich poste den Log von mir und von meiner Freundin weil die dasselbe Problem hat Zuerst zu mir : - Firefox im Task manager immer offen in Verbindung mit "Calculator.exe"...
Archiv
Du betrachtest: Firefox im Task manager immer offen in Verbindung mit "Calculator.exe" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131