Seltsame Verzeichnisse in laufenden Prozessen

fmu · 10.11.2004, 15:18

Hallo,

ich vermute einen Troyaner auf meinem Rechner.
Indiz sind zwei Prozesse deren Pfadangabe ungewöhnlich ist:
\??\C:\WINDOWS\system32\csrss.exe
\??\C:\WINDOWS\system32\winlogon.exe
Alle anderen Windows-Prozesse laufen unter der normalen Verzeichnisstruktur:
C:\WINDOWS\system32\...

Auf dem Rechner ist FileMaker 6.0 installiert. Neuerdings benötigt das Programm beim Start (in der Loader-Anzeige ist "Starte TCP/IP" zu sehen) sehr lange. Nachfolgend der Logfile von Hijack.

Für Tipps oder Hilfen wäre ich außerordentlich dankbar.

Fel

Logfile of HijackThis v1.98.2
Scan saved at 15:03:10, on 10.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Winamp\winampa.exe
H:\programme\EmEditor3\EMEDTRAY.EXE
H:\programme\G-Lock Software\Advanced Administrative Tools\AAtools.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\logon.scr
H:\programme\FileMaker\FileMaker Developer 6\FileMaker Developer.exe
E:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ToolHelper - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\bin\toolbarU.dl_
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] e:\Programme\Winamp\winampa.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EmEditor v3.lnk = H:\programme\EmEditor3\EMEDTRAY.EXE
O8 - Extra context menu item: Google AdSense Preview-Tool - http://pagead2.googlesyndication.com...e/preview.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O9 - Extra button: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O9 - Extra 'Tools' menuitem: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm (HKCU)
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm (HKCU)
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {544EB377-350A-4295-9BEB-EAB8392E09C6} (MSN Money Charting) - http://fdl.msn.com/public/investor/v13/invinstl.exe
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://term.fm-studios.de/msrdp.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C91F7F66-E9A5-4CCC-959E-DC739471BDF1}: NameServer = 192.168.123.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC422301-4CC6-4B07-807C-3D0CF3A1FD38}: NameServer = 192.168.123.254

Seltsame Verzeichnisse in laufenden Prozessen

Log-Analyse und Auswertung: Seltsame Verzeichnisse in laufenden Prozessen

Seltsame Verzeichnisse in laufenden Prozessen

Ähnliche Themen: Seltsame Verzeichnisse in laufenden Prozessen