| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: task.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
13.05.2006, 13:04
| #1 |
 |  task.exe Hallo, meine Kiste kommt in unregelmässigen Abständen ziemlich ins Stocken. Es fängt nicht bei Neustart an, sondern immer ca. nach einer halben Stunde. Oft, wenn ich am zoggen bin. Dann schaute ich in den TM und sah einen Task namens task.exe, der so ziemlich meine ganz Rechenleistung beansprucht. Nur sehe ich keine Gegenleistung. Ich habe dann den Task beendet und die Datei gelöscht. Nebenbei auch noch gleich eine fast gleichnamige Datei im Prefetch Ordner, die ich auch gleich gelöscht habe. War das ein Wurm, Trojaner, Malware? Ich hab die Datei nicht heraufgeladen vor dem löschen.. Wenn ja, wieso erkennt Antivir diesen dann nicht? Beim googlen fand ich heraus dass dieser Task schon viele geärgert hat, auch welche im Jahr 2005. Der Übeltäter war in C/Programme/ZUM/ fragt mich nicht was ZUM ist. Im Ordner ZUM hats jetzt nur noch eine Datei drin: acrbat.dll Kommt die Kagge jetzt von Adobe oder was? Danke fürs durchlesen und antworten te4cup |
|
13.05.2006, 13:22
| #2 |
| Administrator > Competence Manager  | task.exe Hast du denn nun die "task.exe" komplett löschen können? Und in welchem Ordner war sie denn noch zu finden außer im PREFETCH?
__________________Ist die Systemleistung immer noch sehr beansprucht, oder ist es nach dem löschen besser geworden? Poste mal zusätzlich ein hijacklog um sicher zu gehen! Gruß Daniel
__________________ |
|
13.05.2006, 13:25
| #3 |
| > MalwareDB   | task.exe Hallo,
__________________hier mehr zu dem von Dir beschriebenen, poste ein HijackThis Log File, Anleitung in meiner Signatur. Gruß Schrulli
__________________ |
|
13.05.2006, 13:31
| #4 | |
| | task.exe Danke für die schnell Antwort. Ja, die Datei task.exe konnte ich komplett löschen. Sie war im Ordner C/Programme/ZUM/ Wie ich schon sagte weiss ich nicht was ZUM heissen soll, noch habe ich sowas irgendwann installiert. Nein, nach dem löschen ist wieder alles in Ordnung. Den hjacklog kann ich leider nicht posten, da ich vergessen habe ihn vor dem löschen zu machen, sorry. Ich hab beim googeln irgendwo gelesen, dass task.exe Keyboard aufzeichnen würde. Anderswo habe ich gelesen, dass die Datei nicht gefährlich sein soll, wenn sie NICHT im Windows Ordner/Unterordner ist. Naja, eigentlich ist ja alles wieder gut jetzt. Auch wenns ein Trojaner war und der 1337 haxx0r jetzt meine Tastaturaufnahmen hat, wird ihm das nichts bringen da ich keine wichtigen Passwörter habe... edit: Zitat:
edit2: also wenn ich mir so die anderen Dateien im Prefetch Ordner anschaue, muss die Datei irgendwie so geheiseen haben: TASK.EXE-295A837P.pf Geändert von te4cup (13.05.2006 um 13:41 Uhr) |
|
13.05.2006, 13:37
| #5 |
| > MalwareDB | task.exe Hallo, einen Hijack Thios Log kannst Du immer noch posten. Bei der von Dir beschriebene Datei gibt es imho keine LogRoutine für Passwörter etc. Zu Deiner Sicherheit könntest Du wie gesagt das Log posten, denn welche Passwörter sind schon unwichtig? Hallo Sunny  Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
13.05.2006, 13:49
| #6 |
| | task.exe Hier das Logfile: Logfile of HijackThis v1.99.1 Scan saved at 14:45:03, on 13.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Auch wenns steht, ich verwende den IE nicht, FF rules  Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\cFosSpeed\spd.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\cFosSpeed\cFosSpeed.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iTunes\iTunes.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\MSN Messenger\msnmsgr.exe G:\Valve\Steam\Steam.exe C:\Programme\HLSW\hlsw.exe g:\valve\steam\steamapps\fafi90\counter-strike\hl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\*****\Eigene Dateien\HiJack0r\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local., O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: ShowBarObj Class - {79A002FB-C126-462D-B4A7-81D6B42D1666} - C:\Programme\ZUM\acrbat.dll O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing) O23 - Service: FanSpeedNT Service - Unknown owner - C:\Dokumente und Einstellungen\Fabio\Eigene Dateien\FanSpeed\fanspeedNT.exe" (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe edit: r341 names changed ;-) |
|
13.05.2006, 13:57
| #7 |
| Administrator > Competence Manager | task.exe dann lade mal folgende Dateien bei Virustotal hoch:  C:\Programme\ZUM\acrbat.dll C:\WINDOWS\system32\winvbie.dll C:\WINDOWS\system32\msiev32.dll und poste das Ergebnis hier rein. Gruß Daniel [EDIT] das könnten die überbleibsel der "task.exe" sein... [EDIT] Moin Schrulli... 
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
13.05.2006, 14:01
| #8 |
| > MalwareDB | task.exe Hallo, fixe mittels HJT folgende Einträge: O2 - BHO: ShowBarObj Class - {79A002FB-C126-462D-B4A7-81D6B42D1666} - C:\Programme\ZUM\acrbat.dll O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll Dann lade Dir Killbox, in meiner Signatur verlinkt, mit der Option "Delete File on Reboot -- " folgendes reinkopierne: C:\Programme\ZUM\acrbat.dll C:\WINDOWS\system32\msiev32.dll C:\WINDOWS\system32\winvbie.dll klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",kopiere das zweite rein, erst beim letzten auf "yes" Neustart Lösche den Ordner c:\Killbox! Jetzt scanne mit Panda und poste den scanreport edit:Scannen ist hier nicht nötig, die Dateien sind eindeutig schädlich /edit Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
13.05.2006, 14:13
| #9 |
| | task.exe Also, hier die Screenshots: acrbat.dll.gif msiev32.dll.gif winvbie32.dll.gif An dieser Stelle nochmal herzlichen Dank für die Hilfe |
|
13.05.2006, 14:20
| #10 |
| | task.exe Schrulli dein Lösungsweg ist mir klar, jedoch nicht, wie ich gleichzeitig alle drei Files markieren kann ohne jedes mal zu rebooten und das 3 mal. edit: sorry für doppelP! edit2: bin schnell für eine halbe Stunde weg, aslo sucht mich nicht :P |
|
13.05.2006, 15:42
| #11 |
| | task.exe Hmm, irgendwie zeigts den edit button nicht mehr an. Also ich hab die Dateien wie du gesagt hast gekillt. War also alles Adware.. tststs Danke nochmals an alle die mir geholfen haben. Super Team |
|
| Themen zu task.exe |
| abständen, adobe, antivir, beendet, datei, erkenn, erkennt, fängt, google, googlen, kis, leistung, malware, malware?, namens, neustart, ordner, prefetch, rechenleistung, troja, trojaner, unregelmässigen, worte, wurm, ziemlich |
