Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   task.exe (https://www.trojaner-board.de/29189-task-exe.html)

te4cup 13.05.2006 13:04
task.exe
 
Hallo, meine Kiste kommt in unregelmässigen Abständen ziemlich ins Stocken. Es fängt nicht bei Neustart an, sondern immer ca. nach einer halben Stunde. Oft, wenn ich am zoggen bin.

Dann schaute ich in den TM und sah einen Task namens task.exe, der so ziemlich meine ganz Rechenleistung beansprucht. Nur sehe ich keine Gegenleistung. Ich habe dann den Task beendet und die Datei gelöscht. Nebenbei auch noch gleich eine fast gleichnamige Datei im Prefetch Ordner, die ich auch gleich gelöscht habe.

War das ein Wurm, Trojaner, Malware? Ich hab die Datei nicht heraufgeladen vor dem löschen.. Wenn ja, wieso erkennt Antivir diesen dann nicht? Beim googlen fand ich heraus dass dieser Task schon viele geärgert hat, auch welche im Jahr 2005.

Der Übeltäter war in C/Programme/ZUM/

fragt mich nicht was ZUM ist. Im Ordner ZUM hats jetzt nur noch eine Datei drin: acrbat.dll

Kommt die Kagge jetzt von Adobe oder was?

Danke fürs durchlesen und antworten

te4cup

Sunny 13.05.2006 13:22
Hast du denn nun die "task.exe" komplett löschen können? Und in welchem Ordner war sie denn noch zu finden außer im PREFETCH?

Ist die Systemleistung immer noch sehr beansprucht, oder ist es nach dem löschen besser geworden?
Poste mal zusätzlich ein hijacklog um sicher zu gehen!

Gruß
Daniel

BataAlexander 13.05.2006 13:25
Hallo,

hier mehr zu dem von Dir beschriebenen, poste ein HiJackThis Log File, Anleitung in meiner Signatur.

Gruß

Schrulli

te4cup 13.05.2006 13:31
Danke für die schnell Antwort.

Ja, die Datei task.exe konnte ich komplett löschen. Sie war im Ordner

C/Programme/ZUM/

Wie ich schon sagte weiss ich nicht was ZUM heissen soll, noch habe ich sowas irgendwann installiert.

Nein, nach dem löschen ist wieder alles in Ordnung.

Den hjacklog kann ich leider nicht posten, da ich vergessen habe ihn vor dem löschen zu machen, sorry.

Ich hab beim googeln irgendwo gelesen, dass task.exe Keyboard aufzeichnen würde. Anderswo habe ich gelesen, dass die Datei nicht gefährlich sein soll, wenn sie NICHT im Windows Ordner/Unterordner ist.

Naja, eigentlich ist ja alles wieder gut jetzt. Auch wenns ein Trojaner war und der 1337 haxx0r jetzt meine Tastaturaufnahmen hat, wird ihm das nichts bringen da ich keine wichtigen Passwörter habe...

edit:

Zitat:
Zitat von [Gc]Sunny
Hast du denn nun die "task.exe" komplett löschen können? Und in welchem Ordner war sie denn noch zu finden außer im PREFETCH?
Ich hab mich vllt. unklar ausgedrückt. Die eigentliche task.exe war in diesem ZUM Ordner. Im Prefetch Ordner war irgendeine task287342.xyz (Zahlen stimmen nicht und Dateityp weiss ich auch nicht mehr)

edit2:

also wenn ich mir so die anderen Dateien im Prefetch Ordner anschaue, muss die Datei irgendwie so geheiseen haben:

TASK.EXE-295A837P.pf

BataAlexander 13.05.2006 13:37
Hallo,

einen Hijack Thios Log kannst Du immer noch posten.
Bei der von Dir beschriebene Datei gibt es imho keine LogRoutine für Passwörter etc.
Zu Deiner Sicherheit könntest Du wie gesagt das Log posten, denn welche Passwörter sind schon unwichtig?

Hallo Sunny :)

Gruß

Schrulli

te4cup 13.05.2006 13:49
Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:45:03, on 13.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Auch wenns steht, ich verwende den IE nicht, FF rules:lach:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\msnmsgr.exe
G:\Valve\Steam\Steam.exe
C:\Programme\HLSW\hlsw.exe
g:\valve\steam\steamapps\fafi90\counter-strike\hl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\HiJack0r\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ShowBarObj Class - {79A002FB-C126-462D-B4A7-81D6B42D1666} - C:\Programme\ZUM\acrbat.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll
O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: FanSpeedNT Service - Unknown owner - C:\Dokumente und Einstellungen\Fabio\Eigene Dateien\FanSpeed\fanspeedNT.exe" (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe



edit: r341 names changed ;-)

Sunny 13.05.2006 13:57
dann lade mal folgende Dateien bei Virustotal hoch: :daumenhoc
C:\Programme\ZUM\acrbat.dll
C:\WINDOWS\system32\winvbie.dll
C:\WINDOWS\system32\msiev32.dll

und poste das Ergebnis hier rein.

Gruß
Daniel

[EDIT] das könnten die überbleibsel der "task.exe" sein...

[EDIT] Moin Schrulli... ;)

BataAlexander 13.05.2006 14:01
Hallo,

fixe mittels HJT folgende Einträge:

O2 - BHO: ShowBarObj Class - {79A002FB-C126-462D-B4A7-81D6B42D1666} - C:\Programme\ZUM\acrbat.dll
O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll
O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll

Dann lade Dir Killbox, in meiner Signatur verlinkt, mit der Option "Delete File on Reboot -- "
folgendes reinkopierne:

C:\Programme\ZUM\acrbat.dll
C:\WINDOWS\system32\msiev32.dll
C:\WINDOWS\system32\winvbie.dll

klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",kopiere das zweite rein, erst beim letzten auf "yes"

Neustart

Lösche den Ordner c:\Killbox!

Jetzt scanne mit Panda und poste den scanreport

edit:Scannen ist hier nicht nötig, die Dateien sind eindeutig schädlich /edit

Gruß

Schrulli

te4cup 13.05.2006 14:13
Also, hier die Screenshots:

acrbat.dll.gif
msiev32.dll.gif
winvbie32.dll.gif

An dieser Stelle nochmal herzlichen Dank für die Hilfe:daumenhoc

te4cup 13.05.2006 14:20
Schrulli dein Lösungsweg ist mir klar, jedoch nicht, wie ich gleichzeitig alle drei Files markieren kann ohne jedes mal zu rebooten und das 3 mal.

edit:

sorry für doppelP!

edit2:

bin schnell für eine halbe Stunde weg, aslo sucht mich nicht :P

te4cup 13.05.2006 15:42
Hmm, irgendwie zeigts den edit button nicht mehr an.

Also ich hab die Dateien wie du gesagt hast gekillt. War also alles Adware.. tststs ;)

Danke nochmals an alle die mir geholfen haben. Super Team:daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131