Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Firefox im Taskmanager, obwohl nicht geöffnet!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.12.2009, 08:51   #1
Duffman
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



Im Taskmanager ist immer firefox.exe geöffnet, obwohl es beendet bzw. nicht gestartet wurde. Wenn ich den Prozess über den Taskmanager beende, öffnet er sich nach 5 Sekunden automatisch neu.

Mein Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:50:52, on 14.12.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Razer\Diamondback\razerhid.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\BNEK~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Razer\Diamondback\razertra.exe
C:\Users\Bönek\AppData\Roaming\Microsoft\svchost.exe
C:\Program Files\Razer\Diamondback\razerofa.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\Taskmgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [HKCU] C:\Users\Bönek\AppData\Roaming\sys32\svhost.exe
O4 - HKCU\..\Run: [svchost.exe] C:\Users\Bönek\AppData\Roaming\Microsoft\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe
O9 - Extra 'Tools' menuitem: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-29-0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Google Update Service (gupdate1c98c805e078ff9) (gupdate1c98c805e078ff9) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iGroupTec Service (IGBASVC) - Unknown owner - C:\Program Files\Acer\Acer Bio Protection\BASVC.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Program Files\Acer\Acer VCM\RS_Service.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 10597 bytes


Ich bitte um eure Hilfe!

Alt 14.12.2009, 14:18   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



Hallo und

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:
Code:
ATTFilter
C:\Users\Bönek\AppData\Roaming\sys32\svhost.exe
         
Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 14.12.2009, 15:09   #3
Duffman
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



Erstmal danke für die schnelle Antwort!
Hier die Auswertung von Virustotal.com der folgenden Datei:
Code:
ATTFilter
C:\Users\Bönek\AppData\Roaming\sys32\svhost.exe
         
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.14 -
AhnLab-V3 5.0.0.2 2009.12.14 -
AntiVir 7.9.1.108 2009.12.14 -
Antiy-AVL 2.0.3.7 2009.12.14 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.14 -
AVG 8.5.0.427 2009.12.14 -
BitDefender 7.2 2009.12.14 -
CAT-QuickHeal 10.00 2009.12.14 -
ClamAV 0.94.1 2009.12.14 -
Comodo 3240 2009.12.14 -
DrWeb 5.0.0.12182 2009.12.14 -
eSafe 7.0.17.0 2009.12.13 -
eTrust-Vet 35.1.7174 2009.12.14 -
F-Prot 4.5.1.85 2009.12.13 -
F-Secure 9.0.15370.0 2009.12.14 -
Fortinet 4.0.14.0 2009.12.14 -
GData 19 2009.12.14 -
Ikarus T3.1.1.74.0 2009.12.14 -
Jiangmin 13.0.900 2009.12.14 -
K7AntiVirus 7.10.920 2009.12.14 -
Kaspersky 7.0.0.125 2009.12.14 -
McAfee 5831 2009.12.13 -
McAfee+Artemis 5831 2009.12.13 -
McAfee-GW-Edition 6.8.5 2009.12.14 Heuristic.LooksLike.Trojan.Agent.J
Microsoft 1.5302 2009.12.14 -
NOD32 4685 2009.12.14 a variant of Win32/Injector.ALN
Norman 6.04.03 2009.12.14 -
nProtect 2009.1.8.0 2009.12.14 -
Panda 10.0.2.2 2009.12.13 -
PCTools 7.0.3.5 2009.12.14 -
Prevx 3.0 2009.12.14 -
Rising 22.26.00.04 2009.12.14 -
Sophos 4.48.0 2009.12.14 Mal/VBInject-D
Sunbelt 3.2.1858.2 2009.12.14 Trojan.Win32.Generic!SB.0
Symantec 1.4.4.12 2009.12.14 -
TheHacker 6.5.0.2.092 2009.12.12 -
TrendMicro 9.100.0.1001 2009.12.14 -
VBA32 3.12.12.0 2009.12.13 -
ViRobot 2009.12.14.2087 2009.12.14 -
VirusBuster 5.0.21.0 2009.12.13 -
weitere Informationen
File size: 630784 bytes
MD5...: 7916f50514fa83479cfe5b3e7743034a
SHA1..: fa5a6b00ba3ee9320ecc59b593127426d560c9da
SHA256: f6671f1e88c64a3825b8ea30e4ad4fdf1f0132fe869d7bf20cc5914727d90194
ssdeep: 12288:Cw4m9TfanDXuOKYz1VirmkAlJCJUBDJLMhYOAfiBMRYQ:Cw3xabPdR0rmk
ZJqpf16B
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10ec
timedatestamp.....: 0x4b22a27f (Fri Dec 11 19:50:23 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf70c 0x10000 4.81 659ac6d2902d5de06624ac8476cf23c1
.data 0x11000 0x598 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x12000 0x88f38 0x89000 8.00 51edf63f9298056af7c2ed6e1ba29630

( 1 imports )
> MSVBVM60.DLL: MethCallEngine, -, -, -, -, -, -, EVENT_SINK_AddRef, -, -, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, ProcCallEngine, -, -, -, -, -, -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: D9fbRQi9jbQ4adqda
copyright....: n/a
product......: BlEyTC6BlW8PdZqyCrlWZR
description..: n/a
original name: Db8DPBkWA3Ynk.exe
internal name: Db8DPBkWA3Ynk
file version.: 15.10.0034
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Die Liste arbeite ich jetzt weiter ab.
__________________

Alt 14.12.2009, 15:10   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



Das ist neue Malware! Bitte bei uns hochladen! http://www.trojaner-board.de/54791-a...ner-board.html
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.12.2009, 15:24   #5
Duffman
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



Ich habe die Datei gerade bei euch hochgeladen. Wenn ich mit dem CCleaner die Registry säubere, bleibt nun schon beim 10. Durchgang folgender Schlüssel vorhanden:
Code:
ATTFilter
Ungenutzte Datei-Endungen	{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}	HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
         
Was kann ich nun weiteres tun? Die Liste weiter abarbeiten?


Alt 14.12.2009, 15:34   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



Ja, das ist normal, mach einfach weiter, der Eintrag gehört zu AntiVir und kann bzw. darf nicht entfernt werden.
__________________
--> Firefox im Taskmanager, obwohl nicht geöffnet!

Alt 14.12.2009, 15:50   #7
Duffman
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



Hier nun die beiden Logfiles von RSIT:
File-Upload.net - info.txt

File-Upload.net - log.txt

Alt 14.12.2009, 16:14   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
folders to delete:
F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013
C:\Users\Bönek\AppData\Roaming\sys32
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.12.2009, 16:19   #9
Duffman
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



Malwarebytes' Anti-Malware ist mit dem Scan noch nicht fertig. Lohnt es sich weiter zuscannen oder soll ich direkt mit The Avenger fortfahren?

Alt 14.12.2009, 16:21   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



MBAM bitte erst durchlaufen lassen...
Wusste nicht dass der noch läuft. Poste das Log dann einfach.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.12.2009, 17:39   #11
Duffman
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



So nun ist auch MBAM fertig. Der Report:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3357
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865

14.12.2009 16:29:24
mbam-log-2009-12-14 (16-29-24).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 306352
Laufzeit: 1 hour(s), 0 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Bönek\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\Bönek\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Bönek\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
         

Alt 14.12.2009, 18:02   #12
Duffman
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



Der Report von the Avenger:

Code:
ATTFilter
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.0 (build 6002, Service Pack 2)
Mon Dec 14 17:46:44 2009

17:46:44: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.0 (build 6002, Service Pack 2)
Mon Dec 14 17:46:52 2009

17:46:52: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open folder "F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013"
Deletion of folder "F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist

Folder "C:\Users\Bönek\AppData\Roaming\sys32" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Ich hatte beim ersten Durchgang
Zitat:
folders to delete:
vergessen.


firefox.exe ist im beendeten Zustand aus dem Task-Manager verschwunden, dafür ist jetzt conime.exe aufgetaucht, was ich vorher noch nie gesehen habe.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:43:43, on 14.12.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Razer\Diamondback\razerhid.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\BNEK~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Razer\Diamondback\razertra.exe
C:\Program Files\Razer\Diamondback\razerofa.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Common Files\AOL\1218900205\ee\aolsoftware.exe
C:\Program Files\AOL 9.0 VRa\waol.exe
C:\Program Files\AOL 9.0 VRa\shellmon.exe
C:\Program Files\Common Files\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\COMMON~1\Nokia\MPLATF~1\NOKIAM~1.EXE
C:\Program Files\Malwarebytes\mbam.exe
C:\Users\Bönek\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Bönek.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [HKCU] C:\Users\Bönek\AppData\Roaming\sys32\svhost.exe
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRa\AOL.EXE" -b
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe
O9 - Extra 'Tools' menuitem: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-29-0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...nt/swflash.cab
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Google Update Service (gupdate1c98c805e078ff9) (gupdate1c98c805e078ff9) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iGroupTec Service (IGBASVC) - Unknown owner - C:\Program Files\Acer\Acer Bio Protection\BASVC.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Program Files\Acer\Acer VCM\RS_Service.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 10939 bytes

Der neuerliche Hijackthis-log.

Alt 14.12.2009, 21:04   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



conime.exe ist im aktuellen HJT-Log sich ersichtlich. Wo tauschte die auf? Die kann (muss aber nicht) gefährlich sein. Bitte die Datei mal rausuchen und bei virustotal.com auswerten lassen (Ergebnislink posten, wenn Datei schon mal gescannt wurde, bittte erneut scannen lassen)

Ich fürchte ich hab vorhin einen Eintrag übersehen. Asche auf mein Haupt
Bitte den Avenger wie o.g. nochmal anwenden, bitte aber dieses Script verwenden:

Code:
ATTFilter
files to delete:
C:\Users\Bönek\AppData\Roaming\Microsoft\svchost.exe
         
Rest komplett wie gehabt (files to delete: nicht vergessen )

Mach danach bitte Logs mit OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.12.2009, 21:16   #14
Duffman
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



Conmine tauchte im Task-Manager auf, da hab ich es vorher noch nie gesehen!

Report von Virustotal zu Conmine.exe:
Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.43	2009.12.14	-
AhnLab-V3	5.0.0.2	2009.12.14	-
AntiVir	7.9.1.108	2009.12.14	-
Antiy-AVL	2.0.3.7	2009.12.14	-
Authentium	5.2.0.5	2009.12.02	-
Avast	4.8.1351.0	2009.12.14	-
AVG	8.5.0.427	2009.12.14	-
BitDefender	7.2	2009.12.14	-
CAT-QuickHeal	10.00	2009.12.14	-
ClamAV	0.94.1	2009.12.14	-
Comodo	3242	2009.12.14	-
DrWeb	5.0.0.12182	2009.12.14	-
eSafe	7.0.17.0	2009.12.14	-
eTrust-Vet	35.1.7174	2009.12.14	-
F-Prot	4.5.1.85	2009.12.14	-
F-Secure	9.0.15370.0	2009.12.14	-
Fortinet	4.0.14.0	2009.12.14	-
GData	19	2009.12.14	-
Ikarus	T3.1.1.74.0	2009.12.14	-
Jiangmin	13.0.900	2009.12.14	-
K7AntiVirus	7.10.920	2009.12.14	-
Kaspersky	7.0.0.125	2009.12.14	-
McAfee	5832	2009.12.14	-
McAfee+Artemis	5832	2009.12.14	-
McAfee-GW-Edition	6.8.5	2009.12.14	-
Microsoft	1.5302	2009.12.14	-
NOD32	4687	2009.12.14	-
Norman	6.04.03	2009.12.14	-
nProtect	2009.1.8.0	2009.12.14	-
Panda	10.0.2.2	2009.12.14	-
PCTools	7.0.3.5	2009.12.14	-
Prevx	3.0	2009.12.14	-
Rising	22.26.00.04	2009.12.14	-
Sophos	4.48.0	2009.12.14	-
Sunbelt	3.2.1858.2	2009.12.14	-
Symantec	1.4.4.12	2009.12.14	-
TheHacker	6.5.0.2.092	2009.12.12	-
TrendMicro	9.100.0.1001	2009.12.14	-
VBA32	3.12.12.0	2009.12.13	-
ViRobot	2009.12.14.2087	2009.12.14	-
VirusBuster	5.0.21.0	2009.12.14	-
weitere Informationen
File size: 69120 bytes
MD5...: 6080a176d09435fc8e6e800996656e18
SHA1..: 32a54f7cb5fae9842851556a15375afdda36e0e3
SHA256: 2e661732f83521ab1e33749de7e1478a05bc182b14f101531e908b1b555aca18
ssdeep: 1536:GeK3UJyk12FWz/38xD88BTopBbvAmyIqhzFC5Ap:3hyk12F+/qD88BTSRyI
SCK
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xecc0
timedatestamp.....: 0x49e01b39 (Sat Apr 11 04:23:21 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf288 0xf400 6.57 99b39bab8ff66bede7998c52df56235e
.data 0x11000 0x56c 0x200 3.36 20158b2f9f494cf851576891812f7786
.rsrc 0x12000 0x8d0 0xa00 2.88 7ccdd2a7b80bb0f03ecdd586636a2c9e
.reloc 0x13000 0x9cc 0xa00 5.80 48d6173a996ecc345c7493153b21a308

( 10 imports )
> ADVAPI32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey
> KERNEL32.dll: lstrlenA, MultiByteToWideChar, VirtualQuery, RegisterConsoleIME, InterlockedExchange, Sleep, GetSystemInfo, VirtualAlloc, VirtualProtect, GetVersionExW, InterlockedDecrement, InterlockedIncrement, lstrlenW, WideCharToMultiByte, GetCommandLineW, RegisterApplicationRestart, HeapSetInformation, SetEvent, CreateThread, GetCurrentThreadId, OpenEventW, WaitForSingleObject, CloseHandle, GetACP, LocalAlloc, LocalReAlloc, LocalFree, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedCompareExchange, UnregisterConsoleIME
> GDI32.dll: GetStockObject, TranslateCharsetInfo
> USER32.dll: IsWindowEnabled, EnableWindow, UnregisterClassW, CreateWindowExW, RegisterClassW, LoadCursorW, SetForegroundWindow, RegisterWindowMessageW, DispatchMessageW, TranslateMessage, GetMessageW, GetKeyState, GetKeyboardLayoutNameW, PostQuitMessage, DefWindowProcW, GetGUIThreadInfo, IsWindow, DestroyWindow, SetTimer, LoadIconW, PostMessageW, SendMessageTimeoutW, KillTimer, AttachThreadInput, ActivateKeyboardLayout
> msvcrt.dll: _vsnwprintf, memset, malloc, free, _amsg_exit, memcpy, _local_unwind4, __getmainargs, _cexit, _exit, _XcptFilter, _ismbblead, _acmdln, _initterm, _controlfp, _terminate@@YAXXZ, _onexit, _lock, __dllonexit, _unlock, _except_handler4_common, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, memmove, exit
> ole32.dll: CoUninitialize, CoCreateInstance, CoInitializeEx
> OLEAUT32.dll: -, -, -, -, -, -, -
> UxTheme.dll: SetThemeAppProperties
> IMM32.dll: ImmCreateContext, ImmReleaseContext, ImmGetContext, ImmGetGuideLineW, ImmGetConversionStatus, ImmGetOpenStatus, ImmSetConversionStatus, ImmGetProperty, ImmAssociateContext, ImmSimulateHotKey, ImmTranslateMessage, ImmCallImeConsoleIME, ImmGetIMEFileNameW, ImmEscapeW, ImmNotifyIME, ImmGetCandidateListW, ImmGetCompositionStringW, ImmGetHotKey, ImmSetActiveContextConsoleIME, ImmDestroyContext, ImmSetOpenStatus
> MSCTF.dll: TF_IsCtfmonRunning, TF_WaitForInitialized, TF_Notify

( 0 exports )
RDS...: NSRL Reference Data Set
-
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
pdfid.: -
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Console IME
original name: CONIME.EXE
internal name: Console
file version.: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         
... und von Avenger:
Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\Users\Bönek\AppData\Roaming\Microsoft\svchost.exe" not found!
Deletion of file "C:\Users\Bönek\AppData\Roaming\Microsoft\svchost.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         
Ist grundsätzlich noch was zu retten oder scheint eine Neuinstallation unumgänglich?

Alt 14.12.2009, 21:25   #15
Duffman
 
Firefox im Taskmanager, obwohl nicht geöffnet! - Standard

Firefox im Taskmanager, obwohl nicht geöffnet!



File-Upload.net - OTL.Txt
&
File-Upload.net - Extras.Txt

Antwort

Themen zu Firefox im Taskmanager, obwohl nicht geöffnet!
agere systems, antivir, antivir guard, avira, bho, desktop, firefox, firefox.exe, gupdate, hijack, hijackthis, internet, internet explorer, local\temp, logfile, mozilla, object, popup, prozess, registry, rundll, sekunden, senden, software, system, taskmanager, vista, windows



Ähnliche Themen: Firefox im Taskmanager, obwohl nicht geöffnet!


  1. Firefox lässt sich nicht mehr starten, obwohl in Taskmanager angezeigt
    Plagegeister aller Art und deren Bekämpfung - 24.09.2015 (3)
  2. Prozess ie.explore.exe *32 im Taskmanager ständig aktiv obwohl kein IE benutzt wird
    Log-Analyse und Auswertung - 21.01.2015 (21)
  3. Musik im Hintergrund, obwohl keine Seiten geöffnet sind
    Plagegeister aller Art und deren Bekämpfung - 05.09.2014 (16)
  4. Firefox wurde nicht geöffnet: Aktuelle Systembeschränkungen
    Plagegeister aller Art und deren Bekämpfung - 27.08.2014 (15)
  5. Sehr hoher Datentraffik im Netzwerk nachdem Firefox geöffnet wurde, obwohl nichts gedownloaded oder geladen wird
    Log-Analyse und Auswertung - 13.06.2014 (5)
  6. Startseite Google - ( Firefox 21 ) wird nicht geöffnet.
    Plagegeister aller Art und deren Bekämpfung - 28.07.2013 (5)
  7. Firefox startet nicht, Taskmanager hängt extrem
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (20)
  8. TR/Dropper.GEN obwohl nicht geöffnet
    Mülltonne - 29.05.2011 (1)
  9. TR/Dropper.GEN gefunden obwohl nicht geöffnet
    Log-Analyse und Auswertung - 29.05.2011 (1)
  10. Becks Gold Werbung, obwohl kein Fenster geöffnet ist
    Plagegeister aller Art und deren Bekämpfung - 25.04.2011 (1)
  11. Firefox startet nicht; Antivir Guard kann nicht geöffnet werden; seltsames Computerverhalten
    Plagegeister aller Art und deren Bekämpfung - 04.03.2011 (3)
  12. Internet Explorer läuft im Hintergrung obwohl ich ihn garnicht geöffnet habe
    Log-Analyse und Auswertung - 14.12.2009 (1)
  13. Internet Explorer Popups - obwohl IE egtl. nicht geöffnet
    Plagegeister aller Art und deren Bekämpfung - 06.12.2009 (2)
  14. Firefox und Ie startet nicht (nur prozess in taskmanager)
    Log-Analyse und Auswertung - 30.10.2009 (12)
  15. IEXPLORE im TaskManager trotz nicht geöffnet
    Mülltonne - 21.12.2008 (0)
  16. IEXPLORE im TaskManager trotz nicht geöffnet
    Mülltonne - 21.12.2008 (0)
  17. IEXPLORE im TaskManager obwohl nicht geöffnet
    Plagegeister aller Art und deren Bekämpfung - 25.07.2008 (21)

Zum Thema Firefox im Taskmanager, obwohl nicht geöffnet! - Im Taskmanager ist immer firefox.exe geöffnet, obwohl es beendet bzw. nicht gestartet wurde. Wenn ich den Prozess über den Taskmanager beende, öffnet er sich nach 5 Sekunden automatisch neu. Mein - Firefox im Taskmanager, obwohl nicht geöffnet!...
Archiv
Du betrachtest: Firefox im Taskmanager, obwohl nicht geöffnet! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.