Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Seltsame Verzeichnisse in laufenden Prozessen

Seltsame Verzeichnisse in laufenden Prozessen


Log-Analyse und Auswertung: Seltsame Verzeichnisse in laufenden Prozessen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 10.11.2004, 15:18   #1
fmu
 
Seltsame Verzeichnisse in laufenden Prozessen - Cool

Seltsame Verzeichnisse in laufenden Prozessen


Hallo,

ich vermute einen Troyaner auf meinem Rechner.
Indiz sind zwei Prozesse deren Pfadangabe ungewöhnlich ist:
\??\C:\WINDOWS\system32\csrss.exe
\??\C:\WINDOWS\system32\winlogon.exe
Alle anderen Windows-Prozesse laufen unter der normalen Verzeichnisstruktur:
C:\WINDOWS\system32\...

Auf dem Rechner ist FileMaker 6.0 installiert. Neuerdings benötigt das Programm beim Start (in der Loader-Anzeige ist "Starte TCP/IP" zu sehen) sehr lange. Nachfolgend der Logfile von Hijack.

Für Tipps oder Hilfen wäre ich außerordentlich dankbar.


Fel

Logfile of HijackThis v1.98.2
Scan saved at 15:03:10, on 10.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Winamp\winampa.exe
H:\programme\EmEditor3\EMEDTRAY.EXE
H:\programme\G-Lock Software\Advanced Administrative Tools\AAtools.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\logon.scr
H:\programme\FileMaker\FileMaker Developer 6\FileMaker Developer.exe
E:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ToolHelper - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\bin\toolbarU.dl_
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] e:\Programme\Winamp\winampa.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EmEditor v3.lnk = H:\programme\EmEditor3\EMEDTRAY.EXE
O8 - Extra context menu item: Google AdSense Preview-Tool - http://pagead2.googlesyndication.com...e/preview.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O9 - Extra button: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O9 - Extra 'Tools' menuitem: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm (HKCU)
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm (HKCU)
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {544EB377-350A-4295-9BEB-EAB8392E09C6} (MSN Money Charting) - http://fdl.msn.com/public/investor/v13/invinstl.exe
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://term.fm-studios.de/msrdp.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C91F7F66-E9A5-4CCC-959E-DC739471BDF1}: NameServer = 192.168.123.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC422301-4CC6-4B07-807C-3D0CF3A1FD38}: NameServer = 192.168.123.254

Alt 10.11.2004, 15:35   #2
ZERO
 
Seltsame Verzeichnisse in laufenden Prozessen - Standard

Seltsame Verzeichnisse in laufenden Prozessen


Hi fmu

Hast du einen Proxy server laufen?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

Wenn du die folgenden Programme konnst ok wenn nicht bitte fixen1

O9 - Extra button: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll

O9 - Extra 'Tools' menuitem: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll

O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm (HKCU)

O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm (HKCU)

O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab

O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://term.fm-studios.de/msrdp.cab

O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB

O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab

zum fixen mußt du in aen abgesicherten modus gehen und die systemwiderherstellung deaktiviren!


lad dir
escan
runter entpacke nach c:\bases dann mit kavupd updaten.

Wenn du mit dem update fertig bist gehst du in den abgesicherten modus und scannst mit escan deinen pc ( mit mwav.com starten)
wichtig!! du mußt Scan all local Drives und Scan all Files aktiviren

das ergebnis hier bitte wider posten
__________________

__________________
Alt 10.11.2004, 20:51   #3
fmu
 
Seltsame Verzeichnisse in laufenden Prozessen - Standard

Seltsame Verzeichnisse in laufenden Prozessen


Hallo Zero,

danke für die rasche Antwort. Rekruter-Toolbar habe ich drauf gelassen. Das ist eine Erweiterung vor Rekruter.de. Ansonsten habe ich die Anweisungen befolgt. Hier das Ergebnis des Logfiles.

Nach der Meldung des Viren-Scannner habe ich in Thunderbird nachgesehen. Das Junk-Mail-Verzeichnis in Thunderbird ist leer.

File C:\Dokumente und Einstellungen\felix\Anwendungsdaten\Thunderbird\Profiles\g6djl62z.default\Mail\Local Folders\Junk-Mail infected by "TrojanSpy.HTML.Bankfraud.q" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\felix\Lokale Einstellungen\Temp\SOF592.tmp infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\felix\Lokale Einstellungen\Temp\SOF5D.tmp infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{FFB720E5-045E-4D9F-B32D-5020D1EB0E7A}\RP84\A0022156.com infected by "I-Worm.Bagle.at" Virus. Action Taken: No Action Taken.

Der Rest der Virusmeldungen bezieht sich auf Dateien die vom Virenscanner in ein Desinfektionsverzeichnis verschoben wurden.
__________________
Alt 10.11.2004, 21:00   #4
chaosman
 
Seltsame Verzeichnisse in laufenden Prozessen - Standard

Seltsame Verzeichnisse in laufenden Prozessen


@fmu

lade dir clearprog von www.clearprog.de
programm starten, Verlauf, Cookies und Temporary Internet Files löschen
danach neu starten, mit HJT scannen, und hier das logfile posten

chaosman
__________________
Bonus vir semper tiro

Alt 10.11.2004, 21:53   #5
fmu
 
Seltsame Verzeichnisse in laufenden Prozessen - Standard

Seltsame Verzeichnisse in laufenden Prozessen


Hallo Chaosman,


die Temps sind gelöscht. Doch was ist HJT?


Alt 10.11.2004, 21:55   #6
fmu
 
Seltsame Verzeichnisse in laufenden Prozessen - Standard

Seltsame Verzeichnisse in laufenden Prozessen


OK Hijak... im abgesicherten Modus?

Alt 10.11.2004, 21:56   #7
chaosman
 
Seltsame Verzeichnisse in laufenden Prozessen - Standard

Seltsame Verzeichnisse in laufenden Prozessen


@fmu
HJT im normalen modus scannen, danach hier das logfile posten
chaosman
__________________
Bonus vir semper tiro

Alt 10.11.2004, 21:59   #8
fmu
 
Seltsame Verzeichnisse in laufenden Prozessen - Standard

Seltsame Verzeichnisse in laufenden Prozessen


Alles klar, es ist Abend...
Logfile of HijackThis v1.98.2
Scan saved at 21:58:22, on 10.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\logon.scr
E:\hijack\HijackThis.exe
C:\WINDOWS\system32\notepad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ToolHelper - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\bin\toolbarU.dl_
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] e:\Programme\Winamp\winampa.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Google AdSense Preview-Tool - http://pagead2.googlesyndication.com...e/preview.html
O9 - Extra button: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O9 - Extra 'Tools' menuitem: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C91F7F66-E9A5-4CCC-959E-DC739471BDF1}: NameServer = 192.168.123.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC422301-4CC6-4B07-807C-3D0CF3A1FD38}: NameServer = 192.168.123.254

_________________________________________

und

___________________


StartupList report, 10.11.2004, 21:56:49
StartupList version: 1.52.2
Started from : E:\hijack\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\logon.scr
E:\hijack\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ASUS Probe = C:\Program Files\ASUS\Probe\AsusProb.exe
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NVMixerTray = "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
AVGCtrl = C:\Programme\AVPersonal\AVGNT.EXE /min
WinampAgent = e:\Programme\Winamp\winampa.exe

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\emeditor.txt\shell\open\command

(Default) = notepad.exe %1

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
ToolHelper - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\bin\toolbarU.dl_ - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408}
(no name) - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}

--------------------------------------------------

Enumerating Download Program Files:

[Office Update Installation Engine]
InProcServer32 = C:\WINDOWS\opuc.dll
CODEBASE = http://office.microsoft.com/officeup...ntent/opuc.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\macromed\flash\flash.ocx
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 4.450 bytes
Report generated in 0,016 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Alt 10.11.2004, 22:11   #9
chaosman
 
Seltsame Verzeichnisse in laufenden Prozessen - Standard

Seltsame Verzeichnisse in laufenden Prozessen


@fmu

um sicher zu gehen:
lasse diese 2 dateien (eine nach dem anderen)hier online überprüfen:
http://virusscan.jotti.org/de

C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\logon.scr
wahrscheinlich ist nix, aber...

anschließend die ergebnisse posten

chaosman
__________________
Bonus vir semper tiro

Alt 10.11.2004, 23:21   #10
fmu
 
Seltsame Verzeichnisse in laufenden Prozessen - Standard

Seltsame Verzeichnisse in laufenden Prozessen


Beide Dateien sind in Ordnung:


Service load: 0% 100%

File: logonui.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.32 seconds taken)
ClamAV No viruses found (0.36 seconds taken)
Dr.Web No viruses found (0.48 seconds taken)
F-Prot Antivirus No viruses found (0.18 seconds taken)
Kaspersky Anti-Virus No viruses found (0.56 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 No viruses found (0.49 seconds taken)
Norman Virus Control No viruses found (0.70 seconds taken)

_____________________________________________

Service load: 0% 100%

File: logon.scr
Status: OK
Packers detected: None

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.34 seconds taken)
ClamAV No viruses found (0.36 seconds taken)
Dr.Web No viruses found (0.47 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.57 seconds taken)
mks_vir No viruses found (0.20 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.46 seconds taken)

Alt 12.11.2004, 10:20   #11
Shadowdance
 
Seltsame Verzeichnisse in laufenden Prozessen - Standard

Seltsame Verzeichnisse in laufenden Prozessen


Hallo fmu,

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This, wenn Du diese Einträge nicht kennst/brauchst:

O2 - BHO: ToolHelper - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\bin\toolbarU.dl_
O3 - Toolbar: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O9 - Extra button: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O9 - Extra 'Tools' menuitem: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll

boote in den normalen Modus.
Lösche:

C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll

Aktiviere die Systemwiederherstellung, erstelle ein neues Hijack This Logfile und poste es.

SD

Antwort

Themen zu Seltsame Verzeichnisse in laufenden Prozessen
adobe, adsense, asus, bho, dateien, excel, explorer, google, hijackthis, hilfe, internet, internet explorer, logfile, meinem, microsoft, msn, nvcpl.dll, nvidia, pdf, programm, programme, prozesse, rundll, software, studio, sun java, system, tcp/ip, tcpip, troyaner, unter, windows, windows messenger, windows xp


« Nochmals Probleme mit logon.exe | Bitte werft nach neuinstallation einen Blick auf meine Prozesse !!!! Danke »


Ähnliche Themen: Seltsame Verzeichnisse in laufenden Prozessen


  1. Pop-ups am laufenden Band
    Plagegeister aller Art und deren Bekämpfung - 20.08.2014 (6)
  2. Malwarebytes findet Infizierte Dateien/Registrierungsschlüssel/Registrierungswerte/Verzeichnisse!
    Log-Analyse und Auswertung - 28.01.2014 (13)
  3. Frisches Windows 7 64-Bit System, mit zwei laufenden csrss.exe Prozessen, deren Dateipfad unbekannt ist. Könnte das Malware sein?
    Plagegeister aller Art und deren Bekämpfung - 27.07.2013 (3)
  4. Malwarebytes Anti-Malware findet infizierte Verzeichnisse: PUP.LoadTubes
    Log-Analyse und Auswertung - 24.12.2012 (1)
  5. Verschlüsselungstrojaner auf Verzeichnisse kein Zugriff....
    Log-Analyse und Auswertung - 11.06.2012 (4)
  6. Verzeichnisse öffnen nach Verschlüsselungstrojaner auf Stick
    Log-Analyse und Auswertung - 11.05.2012 (25)
  7. Verzeichnisse auf SD-Karten werden zu Verknüpfungen
    Log-Analyse und Auswertung - 23.11.2011 (31)
  8. Windows Diagnostic - Verzeichnisse unsichtbar
    Plagegeister aller Art und deren Bekämpfung - 06.04.2011 (15)
  9. IE öffnet selbstständig bei laufenden Firefox
    Log-Analyse und Auswertung - 04.07.2010 (15)
  10. Dateien und Verzeichnisse verschwinden
    Plagegeister aller Art und deren Bekämpfung - 23.04.2009 (1)
  11. Unwissende braucht Hilfe bei 72 laufenden Prozessen
    Log-Analyse und Auswertung - 18.01.2009 (8)
  12. system tabbt regelmäßig aus den laufenden prozessen raus usw. brauche hilfe
    Log-Analyse und Auswertung - 10.09.2007 (3)
  13. Viele Uninstall Verzeichnisse
    Alles rund um Windows - 13.08.2006 (3)
  14. Kann Verzeichnisse nur mit großer Verzögerung öffnen!
    Plagegeister aller Art und deren Bekämpfung - 05.03.2006 (10)
  15. Verzeichnisse und Dateien umbenannt und gelöscht!
    Plagegeister aller Art und deren Bekämpfung - 20.02.2006 (2)
  16. Popups am laufenden Band
    Plagegeister aller Art und deren Bekämpfung - 08.01.2006 (16)
  17. HAAA.EXE unter laufenden Prozessen?
    Plagegeister aller Art und deren Bekämpfung - 15.10.2004 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Seltsame Verzeichnisse in laufenden Prozessen - Hallo, ich vermute einen Troyaner auf meinem Rechner. Indiz sind zwei Prozesse deren Pfadangabe ungewöhnlich ist: \??\C:\WINDOWS\system32\csrss.exe \??\C:\WINDOWS\system32\winlogon.exe Alle anderen Windows-Prozesse laufen unter der normalen Verzeichnisstruktur: C:\WINDOWS\system32\... Auf dem Rechner - Seltsame Verzeichnisse in laufenden Prozessen...
Archiv
Du betrachtest: Seltsame Verzeichnisse in laufenden Prozessen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131