Wenn ich „Trojancheck 6 vers. 6.02“ laufen habe und die laufenden Prozesse anzeigen lasse, erscheint ein Prozess Namens „|Hì]“ dieser Prozess ist 1. nicht im Taskmanager sichtbar 2. gibt er keine Informationen aus, welche Anwendung ihn startet etc.
Sollte ich diesen Prozess beenden, startet ein neuer Prozess mit Namen „U“. Ebenfalls mit gleichen Merkmalen.
Ich habe auch noch mehr solcher Prozesse am laufen:
„[System Process]“
„??\C:\Windows\system32\winlogon.exe“
„\systemroot\system32\smss.exe“ (2 mal)
Nun meine Frage: Was sind das für Prozesse und könnte es sich um eine Gefahr handeln.
Ich habe diverse Viren und Trojanerscans durchlaufen lassen. (auch onlinescans) keiner hat etwas gefunden.
Desweiteren habe ich einen Windowsuser mit dem Namen „DEFAULT USER“.
Ist das bei WinXP Prof. SP2 normal? (Mein Benutzerprofil hat einen anderen Namen)
Schnelle Hilfe wäre nett.
Danke.
Hallo,
bei diesen Dateien handelt es sich offensichtlich um SCHÄDLINGE.
Info´s u. Gegenmaßnahmen hier:
http://www.trojaner-board.de/16872-hilfe-fuer-tr-dld…
und
http://board.protecus.de/t19362.htm
Lass´mal umgehend „HHijackThis“ laufen u. auswerten.
Beseitigung s.o.
Viel Erfolg,
ITM4
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hallo,
bei diesen Dateien handelt es sich offensichtlich um
SCHÄDLINGE.
Info´s u. Gegenmaßnahmen hier:
http://www.trojaner-board.de/16872-hilfe-fuer-tr-dld…
und
http://board.protecus.de/t19362.htm
Lass´mal umgehend „HHijackThis“ laufen u. auswerten.
Beseitigung s.o.
Viel Erfolg,
ITM4
Danke ITM4,
für die schnelle Antwort.
Ich habe Hijack this ausgeführt und von einer Datenbank auswerten lassen.
Dabei fiel nur auf dass die Datei sched.exe nicht am gewohnten Ort ist. (AV-system datei)
Ich habe diese Datei online scan lassen aber es wurde nichts gefunden.
(bei http://www.hijackthis.de/de#anl)
Daher hier noch die Log, vllt fällt Dir oder jemanden anders etwas ins Auge.
Logfile of HijackThis v1.99.1
Scan saved at 17:33:16, on 08.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\NetStat4Win\TMPacketServiceInit.exe
C:\Programme\mIRC\mirc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\Canis\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM…\Run: [ZoneAlarm Client] „C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe“
O4 - HKLM…\Run: [avgnt] „C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe“ /min
O4 - HKLM…\Run: [NetStat4Win] C:\PROGRA~1\NETSTA~1\NETSTAT4WIN.EXE
O4 - HKLM…\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM…\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM…\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM…\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM…\Run: [SunJavaUpdateSched] „C:\Programme\Java\jre1.6.0_05\bin\jusched.exe“
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] „C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe“
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra ‚Tools‘ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra ‚Tools‘ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra ‚Tools‘ menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ‚Tools‘ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V…
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/websc…
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrafficMonitor Packettreiber Initialisierung (TMPService) - Mirko Böer - C:\Programme\NetStat4Win\TMPacketServiceInit.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Ich habe eben die tempordner geleert und werde nun die systemwiederherstellung deaktivieren und dann mal sehn…
…
Ich habe eben die tempordner geleert und werde nun die
systemwiederherstellung deaktivieren und dann mal sehn…
Hm kein Unterschied. Weiter stand bei den Links auch nichts zur Beseitigung.^^
Hallo,
ich habe Dein LogFile nochmals auswerten lassen - die beiden unbekannten Prozesse gehören zu diesem Tool :
>> http://www.shareware.de/software/Programm_NetStat4Wi… [Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hallo,
na wenn „irgendwas“ auf Deinem PC „irgendwas“ machen/tun/erledigen usw. soll, ergibt sich daraus eben ein „Prozess“ 
(Das zum Thema Shareware u. Prozesse…)
ITM4
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]