Trojaner-Board - Doppelte Prozesse im Taskamanger

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Doppelte Prozesse im Taskamanger (https://www.trojaner-board.de/49113-doppelte-prozesse-taskamanger.html)

Doppelte Prozesse im Taskamanger

Hab mein System mit Acronis True Image wiederhergestellt, doch in bin der Meinung dass da einige Prozesse doppelt im Taskmanager laufen. Und vor allem dieser msiexec.exe des Installationprogrammes.

Hier erstmal mein Hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:30:53, on 04.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\system32\PnkBstrA.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
D:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\*****1\Virenprogramme\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [AtiTrayTools] "D:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe

Und hier noch ein Bild meines Taskmanagers:

Taskmanager ohne laufende Installation:

ImageShack - Hosting :: bildtaskmanagerop1.jpg

Taskmanager mit laufender Installation ( von Quicktime )

ImageShack - Hosting :: taskmanagerwhrendinstalyv2.jpg

Muss ich an meinem Hijackthis Logfile irgendetwas fixen? Oder passt da alles?

Aber die doppelten Prozesse sind schon in meinem Taskmanager vorhanden oder irre ich mich da?

Erstmal nichts fixen, sondern Ruhe bewahren und folgende files an virustotal.com schicken und das Ergebnis hier posten:

C:\WINDOWS\ALCMTR.EXE
D:\*****1\Virenprogramme\HiJackThis202.exe

Ist das normal das die Seite sehr lange zum überprüfen braucht?

Edit: Lag wohl am firefox mit dem IE 7 geht es schneller

D:\*****1\Virenprogramme\HiJackThis202.exe ( dauerte von 11.41 Uhr bis 12.30 Uhr )

Ergebnis: 2/31 (6.46%)
Datei HiJackThis202.exe empfangen 2008.02.05 12:31:58 (CET)Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2008.2.5.11 2008.02.05 -
AntiVir 7.6.0.62 2008.02.05 -
Authentium 4.93.8 2008.02.04 -
Avast 4.7.1098.0 2008.02.04 -
AVG 7.5.0.516 2008.02.05 -
BitDefender 7.2 2008.02.05 -
CAT-QuickHeal 9.00 2008.02.04 -
ClamAV 0.92 2008.02.05 -
DrWeb 4.44.0.09170 2008.02.05 -
eSafe 7.0.15.0 2008.01.28 suspicious Trojan/Worm
eTrust-Vet 31.3.5512 2008.02.05 -
Ewido 4.0 2008.02.05 -
FileAdvisor 1 2008.02.05 -
Fortinet 3.14.0.0 2008.02.05 -
F-Prot 4.4.2.54 2008.02.04 -
F-Secure 6.70.13260.0 2008.02.05 -
Ikarus T3.1.1.20 2008.02.05 -
Kaspersky 7.0.0.125 2008.02.05 -
McAfee 5222 2008.02.04 -
Microsoft 1.3204 2008.02.05 -
NOD32v2 2849 2008.02.05 -
Norman 5.80.02 2008.02.04 -
Panda 9.0.0.4 2008.02.04 Suspicious file
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.05 -
Sunbelt 2.2.907.0 2008.02.05 -
Symantec 10 2008.02.05 -
TheHacker 6.2.9.209 2008.02.05 -
VBA32 3.12.6.0 2008.02.03 -
VirusBuster 4.3.26:9 2008.02.04 -
Webwasher-Gateway 6.6.2 2008.02.05 -

weitere Informationen
File size: 401720 bytes
MD5: e8269245566be948f6a219135b434160
SHA1: 1ac255b76ef692ea6c09d4840dcd28c67c5d6bfe
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX

Datei ALCMTR.EXE empfangen 2008.02.05 12:49:42 (CET)
Ergebnis: 0/32 (0%)
Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2008.2.5.11 2008.02.05 -
AntiVir 7.6.0.62 2008.02.05 -
Authentium 4.93.8 2008.02.04 -
Avast 4.7.1098.0 2008.02.04 -
AVG 7.5.0.516 2008.02.05 -
BitDefender 7.2 2008.02.05 -
CAT-QuickHeal 9.00 2008.02.04 -
ClamAV 0.92 2008.02.05 -
DrWeb 4.44.0.09170 2008.02.05 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5512 2008.02.05 -
Ewido 4.0 2008.02.05 -
FileAdvisor 1 2008.02.05 -
Fortinet 3.14.0.0 2008.02.05 -
F-Prot 4.4.2.54 2008.02.04 -
F-Secure 6.70.13260.0 2008.02.05 -
Ikarus T3.1.1.20 2008.02.05 -
Kaspersky 7.0.0.125 2008.02.05 -
McAfee 5222 2008.02.04 -
Microsoft 1.3204 2008.02.05 -
NOD32v2 2849 2008.02.05 -
Norman 5.80.02 2008.02.04 -
Panda 9.0.0.4 2008.02.04 -
Prevx1 V2 2008.02.05 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.05 -
Sunbelt 2.2.907.0 2008.02.05 -
Symantec 10 2008.02.05 -
TheHacker 6.2.9.209 2008.02.05 -
VBA32 3.12.6.0 2008.02.03 -
VirusBuster 4.3.26:9 2008.02.04 -
Webwasher-Gateway 6.6.2 2008.02.05 -

weitere Informationen
File size: 57344 bytes
MD5: cea9fdf9d0cd7c026662acad8ab4aa0e
SHA1: 3fa02680d582f4eaa7e65dc38d7b130bcbcd031c
PEiD: Armadillo v1.71

Zitat:

Zitat von Marki99 (Beitrag 320325)

Datei HiJackThis202.exe
eSafe 7.0.15.0 2008.01.28 suspicious Trojan/Worm
Panda 9.0.0.4 2008.02.04 Suspicious file

LOL:aplaus:

Und wie könnt Ihr mir jetzt weiterhelfen?

Dein Log ist eigentlich unauffällig. Die ALCMTR.EXE gehört wohl zu deiner Soundkarte. Die beiden Zeilen in deinem Log kannst du löschen. Diese telefoniert mit dem Hersteller der Karte, ist aber nichts schlimmes.
Hast du denn sonst noch probleme?
Das einige programme im Taskmanager mehrmals vorhanden sind ist normal.

Nein sonst habe ich keine Probleme. Manchmal bleibt der Installer während man die Installationspfade, Sprache usw. auswählen kann hängen, dies war früher nie so.
Hab dies auch mit Programmen getestet die ich schon einmal installiert hatte, da bleibt er auch öfters hängen.

Deswegen habe ich dann in den Taskmanager geschaut, und mich gewundert warum da einige Prozesse doppelt laufen. Hab dies früher nie bemerkt und gedacht vielleicht startet Windows jetzt einige Prozesse doppelt weil ich mit Acronis meinen Windows Ordner wiederhergestellt habe ( Methode: vorhandene Dateien überschrieben ), weil ich nach der Installation von Zone Alarm Pro mein PC sich am Schluss nicht autom. ausgeschaltet hat.

http://www.trojaner-board.de/49050-z...tallation.html

Das Problem dass Zone Alarm immer bei 23 % bei der Installation hängen bleibt habe ich immer noch aber das komisch ist, dass nachdem ich die Installation abbreche Zone Alarm trotzdem ohne Probleme läuft.

Soll ich dann diese beiden Einträge fixen?

C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE

Nur die ALCMTR.EXE kannst du fixen.
Die Probs mit Zone Alarm? Meines Erachtens nach ist auch die XP-eigene Firewall ausreichend und belastet das System nicht so.

Okay vielen Dank.

Mit der Windows Firewall bin ich nicht ganz so zufrieden, da sie manche Programme trotzdem ins Internet lässt.

Hallo,

Zitat:

Mit der Windows Firewall bin ich nicht ganz so zufrieden, da sie manche Programme trotzdem ins Internet lässt.

Wärst du sehr überrascht wenn ich dir sagen würde ,das die windowseigene Firewall standardmäßig alle Programme ins Internet läßt und nur der umgekehrte Weg "bewacht" wird ....?:rolleyes:
Irrlicht

Nein das bin ich nicht :D ich war mir nur sicher dass ich mein Zone Alarm wieder brauche ;)

Bei meinem P2P Programm frägt sie sogar nach wegen Internetzugang :aplaus:

Bis jetzt läuft alles einwandfrei, Problem halbwegs gelöst aber Zone Alarm könnte sich mal an die Fehlerbehebung setzen.