Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Firefox.exe als Hintergrundprozess (https://www.trojaner-board.de/35955-firefox-exe-hintergrundprozess.html)

thev 02.02.2007 15:00
Firefox.exe als Hintergrundprozess
 
Ich habe mir malware eingefangen (prozesse firefox.exe laufen mehrfach im Hintergrund) und bekomme mein win2000 System nicht sauber.
Sämtliche Tips in anderen Threads bzw. der Mozilla Homepage zu dem Thema hab ich schon versucht (registry keys löschen, nach verdächtigen files im system32 suchen). Ich habe auch schon versucht mit diversen Prozessmonitoren irgendwelchen Trojanern auf die Spur zu kommen aber bislang nada. Virenscan mit Antivir,Avg und Nod32 hat auch nichts gefunden.
Ich habe temporär mein firefox.exe umbenannt und kann so normal arbeiten(nur scheint irgendwas im Hintergrund die Performance zu beeinträchtigen) .Wenn ich
das Executable wieder in firefox.exe zurückbenenne started sofort wieder besagter Hintergrundprozess (manchmal auch mehrfach). Kennt jemand irgend ein Tool mit dem ich den Verursacher auf meinem System aufspüren kann? Ich hab hier auch mal noch meinen scan beigefügt obwohl ich nicht weiss ob das was bringt

Code:
Logfile of HijackThis v1.99.1
Scan saved at 14:31:16, on 02.02.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Windows folder: C:\WINNT
System folder: C:\WINNT\SYSTEM32
Hosts file: C:\WINNT\System32\drivers\etc\hosts

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\oradb\bin\dbsnmp.exe
C:\oradb\bin\vppdc.exe
C:\oradb\BIN\TNSLSNR.exe
c:\oradb\bin\ORACLE.EXE
C:\WINNT\system32\regsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\system32\atiptaxx.exe
C:\Programme\WinFax\wfxctl32.exe
C:\WINNT\explorer.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\TEMP\dvd\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (filesize 853672 bytes, MD5 250D787A5712D7768DDC133B3E477759)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon (filesize 112400 bytes, MD5 029D8BD024795F88FB4C240D6EE656A8)
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP (filesize 406016 bytes, MD5 ED0163ACDB2834AC8F53B3265671FB1A)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe (filesize 245760 bytes, MD5 7521596BFE009AF58B616B3A4D96015E)
O4 - HKCU\..\Run: [µTorrent] "C:\TEMP\dvd\BitTorrent\utorrent.exe" (filesize 174163 bytes, MD5 501A7993D267174D87B8533C3A80DD7B)
O4 - Startup: WinFax PRO Message Manager.LNK = C:\Programme\WinFax\FAXMNG32.EXE (filesize 835584 bytes, MD5 7DAE18F29937820F87F8CE08FEF06139)
O4 - Global Startup: Datenbank starten.lnk = C:\oradb\startup\startdb.bat (filesize 31 bytes, MD5 911D185F6E972632AB749788A57FC02D)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll (filesize 103344 bytes, MD5 4687B6F8CF5F62DDCF21916114142FF7)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exeC:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXEC:\orant\BIN\ONRSD80.EXE
O23 - Service: OracleorahomedbAgent - Oracle Corporation - C:\oradb\bin\dbsnmp.exeC:\oradb\bin\dbsnmp.exe
O23 - Service: OracleorahomedbClientCache - Unknown owner - C:\oradb\BIN\ONRSD.EXEC:\oradb\BIN\ONRSD.EXE
O23 - Service: OracleorahomedbDataGatherer - Oracle Corporation - C:\oradb\bin\vppdc.exeC:\oradb\bin\vppdc.exe
O23 - Service: OracleorahomedbHTTPServer - Unknown owner - C:\oradb\Apache\Apache\Apache.exeC:\oradb\Apache\Apache\Apache.exe
O23 - Service: OracleorahomedbPagingServer - Unknown owner - C:\oradb/bin/pagntsrv.exeC:\oradb/bin/pagntsrv.exe
O23 - Service: OracleorahomedbTNSListener - Unknown owner - C:\oradb\BIN\TNSLSNR.exeC:\oradb\BIN\TNSLSNR.exe
O23 - Service: OracleServiceDEV - Oracle Corporation - c:\oradb\bin\ORACLE.EXEc:\oradb\bin\ORACLE.EXE

thev 05.02.2007 14:13
Bin jetzt einen Schritt weiter und habe festgestellt, das das Firefox executable über den explorer.exe hintergrundprozess angestossen wird. Wenn ich den beende wird auch firefox nicht mehr gestartet. Wenn er läuft zieht er auuserdem fasst 100% der CPU leistung. Das explorer executable habe ich bei Virustotal scannen lassen da war aber nichts. Ich nehme an dass irgendeine dll die angezogen wird verseucht ist. Für Tips wie ich weiter vorgehen kann wäre ich im Moment recht dankbar.

Tia Thev

MikeBln 19.07.2007 08:32
Hallo,
habe selbiges Problem mit FF 2.0.0.4 und nun auch mit 2.0.0.5, nach PC Start läuft bereits 1x FF Prozess mit ca 7 MB RAM, starte ich FF habe ich den Prozess 2x im Taskmanager.
Kille ich dann den ersten mit ca 7 MB Ram bleibt er auch weg.

Kille ich den ersten Prozess ohne das ich selbst den Firefox manuell starte dann schreibt sich der erste Prozess sofort wieder in den Taskmanager, und läuft weiterhin im Hintergrund
???
HiJack.this negativ, Viren-Rootkit-Scan negativ

Hat jemand schon ne Idee ...


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19