Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Unbekannter Prozess?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.11.2004, 10:17   #1
gerhard 12
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



Hallo!
Habe im Logfile diesen Prozess
((O4 - HKLM\..\Run: [emfpyzya] C:\WINDOWS\system32\wbuzvrfs.exe))
und finde bei der Suche hier im Forum wie im gesamten Web nix dazu.
Danke
Gerhard

Alt 13.11.2004, 10:53   #2
Shadowdance
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



Hallo gerhard 12,

überprüfe diesen Prozess mit virusscan.jotti.dhs.org und teile uns das Ergebnis mit:

C:\WINDOWS\system32\wbuzvrfs.exe

Erstelle bitte ein komplettes Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD
__________________


Alt 13.11.2004, 12:32   #3
gerhard 12
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



Das ist das Ergebnis: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
__________________

Alt 13.11.2004, 12:33   #4
gerhard 12
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



file of HijackThis v1.98.2
Scan saved at 12:32:44, on 13.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\TelefonCD\OtbStart.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wbuzvrfs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
C:\Dokumente und Einstellungen\Gerhard\Desktop\Virus\Hijackthis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [emfpyzya] C:\WINDOWS\system32\wbuzvrfs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B62DC1F7-06E7-450D-9F9E-EF059562A7B4}: NameServer = 195.3.96.67 195.3.96.68

Alt 13.11.2004, 13:11   #5
Shadowdance
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



Hallo gerhard 12,

überprüfe mit virusscan.jotti.dhs.org:

C:\Programme\TelefonCD\OtbStart.EXE

--> Ergebnis?

Sende die Datei "C:\WINDOWS\system32\wbuzvrfs.exe" passwortgeschützt an partytime-germany.ice@web.de mit Hinweis auf diesen Thread --> Forschungszweck.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This:

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm (file missing)

boote in den normalen Modus. Aktiviere die Systemwiederherstellung,

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD


Alt 13.11.2004, 14:25   #6
gerhard 12
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



Escan hat außer webrebates nix gefunden.(schon gelöscht)
Adaware hat den wbuzvrfs.exe isoliert. Ich weiss aber nicht obs funktioniert hat da ich noch nicht neu hochgefahren habe.
Ich werde im abgesicherten Modus den Eintrag 09 löschen.
Ergebnisvon OTB:

MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)

Gut,ich sende die File.

Danke
Gerhard

Alt 13.11.2004, 14:39   #7
Shadowdance
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



@ gerhard 12

dann sende bitte auch die Datei "C:\Programme\TelefonCD\OtbStart.EXE" passwortgeschützt an partytime-germany.ice@web.de (Hinweis auf diesen Thread) und warte das Ergebnis ab.

SD

Alt 13.11.2004, 14:56   #8
gerhard 12
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



Der Eintrag 09 ist nach deinem Prozedere doch wieder da.
Was ist das?
Gerhard

Alt 13.11.2004, 15:01   #9
gerhard 12
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



Die wbuzvrfs.exe krieg ich doch nur mehr aus dem Adaware raus wenn ich sie restore, soll ich das machen?
Gerhard

Alt 13.11.2004, 15:43   #10
Shadowdance
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



@ gerhard 12

lass die "wbuzvrfs.exe" da, wo sie ist.
Hattest Du die Systemwiederherstellung deaktiviert, um den Eintrag 09 zu löschen? So nicht, wiederhole den Vorgang bei deaktivierter Systemwiederherstellung, wie beschrieben.

SD

Alt 13.11.2004, 17:37   #11
gerhard 12
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



War deaktiviert, auch beim zweiten Versuch kommt sie wieder.

Hab es restored und dann den jottis drüberlaufen lassen,
der findet aber nichts??
Es ist jetzt auch an partytime germany gegangen.
Werd schreiben wenn ich das Ergebnis habe.
Was mach ich mit dem 09 Eintrag??

Geändert von gerhard 12 (13.11.2004 um 18:40 Uhr)

Alt 13.11.2004, 19:03   #12
*Christian*
Gast
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



wbuzvrfs.exe ist ein TrojanDownloader.

Alt 13.11.2004, 22:04   #13
gerhard 12
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



Danke für die Info.
Wundere mich zwar noch immer dass jottis nix gefunden hat, aber jetzt is er sowieso weg.
Frage: Mein Browser ist ein Mozilla, kam der mit Email?
Danke
Gerhard

Alt 13.11.2004, 23:18   #14
Shadowdance
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



@ gerhard 12

Zitat:
Zitat von gerhard 12
Frage: Mein Browser ist ein Mozilla, kam der mit Email?
ich verstehe Deine Frage nicht.

SD

Alt 14.11.2004, 17:36   #15
gerhard 12
 
Unbekannter Prozess? - Standard

Unbekannter Prozess?



Sorry, war ein Blödsinn. Wollte wissen wie ein Trojandownloader eingeschleust wird, Email oder Browser.

Antwort

Themen zu Unbekannter Prozess?
bekannter, c:\windows, forum, gesamte, gesamten, logfile, prozess, suche, system, system32, unbekannter, unbekannter prozess, web, windows



Ähnliche Themen: Unbekannter Prozess?


  1. Unbekannter Prozess
    Log-Analyse und Auswertung - 25.01.2014 (1)
  2. Unbekannter Prozess conhost.exe
    Plagegeister aller Art und deren Bekämpfung - 16.09.2013 (15)
  3. unbekannter prozess "datfc86.tmp.exe*32" zusammen mit TR/ATRAPS.gen2
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (5)
  4. Unbekannter Prozess im Taskmanager
    Log-Analyse und Auswertung - 12.04.2012 (3)
  5. Unbekannter Prozess 2E0.exe
    Log-Analyse und Auswertung - 18.10.2011 (15)
  6. Internet Explorer Prozess (NUR PROZESS) iexplore.exe startet sich selbst 3 mal
    Plagegeister aller Art und deren Bekämpfung - 27.02.2011 (21)
  7. Unbekannter Prozess und svchost nimmt viel zu viel RAM ein?
    Log-Analyse und Auswertung - 08.07.2010 (19)
  8. unbekannter Prozess "kuidi.exe"
    Plagegeister aller Art und deren Bekämpfung - 09.02.2010 (1)
  9. Hile, unbekannter prozess hat offenen port!
    Plagegeister aller Art und deren Bekämpfung - 06.01.2010 (1)
  10. unbekannter Prozess memgcu.exe Virus/Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 07.09.2009 (1)
  11. Unbekannter Prozess! yrrivyqdmx
    Plagegeister aller Art und deren Bekämpfung - 05.09.2009 (1)
  12. unbekannter Prozess in HiJackthis (kommt immer wieder)
    Log-Analyse und Auswertung - 05.05.2009 (3)
  13. unbekannter prozess im taskmanager
    Mülltonne - 05.09.2008 (0)
  14. Unbekannter Prozess in Hijackthis-Logfile
    Log-Analyse und Auswertung - 23.05.2008 (2)
  15. unbekannter prozess nach trojanerbefall, bitte um logauswertung
    Log-Analyse und Auswertung - 11.04.2007 (3)
  16. Unbekannter Prozess!
    Log-Analyse und Auswertung - 26.10.2006 (8)
  17. Unbekannter Prozess KB891711.EXE
    Log-Analyse und Auswertung - 09.03.2005 (2)

Zum Thema Unbekannter Prozess? - Hallo! Habe im Logfile diesen Prozess ((O4 - HKLM\..\Run: [emfpyzya] C:\WINDOWS\system32\wbuzvrfs.exe)) und finde bei der Suche hier im Forum wie im gesamten Web nix dazu. Danke Gerhard - Unbekannter Prozess?...
Archiv
Du betrachtest: Unbekannter Prozess? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.