Multiprozess

Genesis · 21.12.2005, 20:11

Die Datei heist SC_WATCH.EXE-105B9A9E.pf und ist in meinem Windows nach dem löschen wieder da.
Und ist, befor ich sie umbenannt habe so 10-20 mal im Taskmanager aufgetaucht.

Ich vermute einen Trojaner, habe mit AntivirXP gescant und nichts gefunden.
Kommt das jemandem bekannt vor, oder weis jemand Rat?

JayP · 21.12.2005, 21:36

Scan die Datei mal hier.
Und poste anschließend das Ergebnis.

Genesis · 21.12.2005, 21:40

Zitat:

AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
...

Nichts gefunden, vielleicht ist es auch ein Bug?

JayP · 21.12.2005, 21:42

Erstelle mal ein HijackThis logfile und poste es.
hier ist beschrieben wie das ganze geht.

Genesis · 21.12.2005, 22:05

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 21:58:11, on 21.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Free Download Manager\fdm.exe
C:\Programme\OpenOffice.org1.1.4\program\soffice.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Downloads\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - H:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - H:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121421627527
O17 - HKLM\System\CCS\Services\Tcpip\..\{017B25C1-7726-4BB7-99EE-24651864A43D}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{017B25C1-7726-4BB7-99EE-24651864A43D}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{017B25C1-7726-4BB7-99EE-24651864A43D}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Ich hoffe ich habe das richtige geposted.
Kann euch das weiterhelfen?

JayP · 21.12.2005, 22:10

Hm...da sehe ich auch nichts auffälliges.
Diese Einträge kannste fixen:
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - H:\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - H:\WinHTTrack\WinHTTrackIEBar.dll (file missing)

Genesis · 21.12.2005, 23:20

Um zu sehen was für eine Funktion das Programm hat, habe ich es auf den Desktop kopiert und in .exe umbenannt.

Seitdem kann ich es nicht mehr löschen auch nicht im abgesichertem Modus!
Ich finde das sehr seltsam, und hoffe kein "Betatester" für neue Malware zu sein.

21.12.2005, 20:11	#1
Genesis	Multiprozess Die Datei heist SC_WATCH.EXE-105B9A9E.pf und ist in meinem Windows nach dem löschen wieder da. Und ist, befor ich sie umbenannt habe so 10-20 mal im Taskmanager aufgetaucht. Ich vermute einen Trojaner, habe mit AntivirXP gescant und nichts gefunden. Kommt das jemandem bekannt vor, oder weis jemand Rat?

21.12.2005, 21:36	#2
JayP	Multiprozess Scan die Datei mal hier. Und poste anschließend das Ergebnis. __________________

21.12.2005, 21:42	#4
JayP	Multiprozess Erstelle mal ein HijackThis logfile und poste es. hier ist beschrieben wie das ganze geht.

21.12.2005, 22:10	#6
JayP	Multiprozess Hm...da sehe ich auch nichts auffälliges. Diese Einträge kannste fixen: O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - H:\WinHTTrack\WinHTTrackIEBar.dll (file missing) O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - H:\WinHTTrack\WinHTTrackIEBar.dll (file missing)

21.12.2005, 23:20	#7
Genesis	Multiprozess Um zu sehen was für eine Funktion das Programm hat, habe ich es auf den Desktop kopiert und in .exe umbenannt. Seitdem kann ich es nicht mehr löschen auch nicht im abgesichertem Modus! Ich finde das sehr seltsam, und hoffe kein "Betatester" für neue Malware zu sein. __________________ Mein Virenkiller: Antivir

Multiprozess

Plagegeister aller Art und deren Bekämpfung: Multiprozess

Multiprozess

Multiprozess

Multiprozess

Multiprozess

Multiprozess

Multiprozess

Multiprozess