Komische Prozesse unter Windows XP

[widersacher 10]

Hallo Leute,

 

auf meinem PC starten sich seit neuesten viele Prozesse die eine dreistellige nummer haben, wie 103.exe, 812.exe usw. sind ca. 10-15 prozesse, wenn ich diese auf der platte suche und danach lösche, kommen sie beim nächsten neustart wieder, irgendwelche ideen ?

[Necron 71]

Hi,

 

hast du den Rechner schon auf Viren, etc. geprüft? Eventuell auch mit einem Onlinevirenscanner.

[widersacher 10]

Wir verwenden CA virenscanner, hat nichts gefunden, stinger genauso nicht... Hast du vielleicht einen Tipp für einen Online scanner?

[Necron 71]

Housecall von Trend Micro ist gut.

 

-> Kostenloser Online Virus und Spyware Scanner - Trend Micro Deutschland

[olc 18]

Hi,

 

Du könntest beispielsweise auch mit dem Process Explorer prüfen, welche Dateien und DLLs von den Prozessen genutzt werden.

 

Aber es klingt im ersten Moment schon ein wenig nach Malware, wie Daniel schon sagte. Ggf. also einmal Knoppicillin Download-Edition 6.0.2 Deutsch, Download bei heise drüberlaufen lassen und über eine Neuinstallation nachdenken, sollte dort Schadsoftware gefunden werden.

 

Viele Grüße

olc

[XP-Fan 217]

Hallo widersacher,

 

das hört sich sehr stark nach ungebetenen Besuchern auf deinem System an.

 

Lade dir mal HiJackThis herunter, starte das Programm mit dem Punkt "Scan only" und

poste hier die log Datei. Daraus sollte sich schon einiges erkennen lassen.

 

Bis dahin würde ich dir dringend empfehlen keine wichtigen Tätigkeiten ( Banking etc )

am Rechner zu machen und diesen wenn es geht vom Internet trennen (Kabel ausziehen ! )

[widersacher 10]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:48:10, on 13.08.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\IPSSVC.EXE

C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

C:\Programme\G DATA\AVKClient\AVKCl.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe

C:\Programme\G DATA\AVKClient\AVKWCtl.exe

C:\WINDOWS\system32\bndmss.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\CA\SharedComponents\iTechnology\igateway.exe

C:\Programme\CA\eTrustITM\InoRpc.exe

C:\Programme\CA\eTrustITM\InoRT.exe

C:\Programme\CA\eTrustITM\InoTask.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

c:\programme\lenovo\system update\suservice.exe

C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe

C:\WINDOWS\System32\TPHDEXLG.exe

C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe

C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe

c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe

C:\Programme\3DataManager\WTGService.exe

C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe

C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe

C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\787.exe

C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\010.exe

C:\WINDOWS\Explorer.EXE

C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\348.exe

C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\183.exe

C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\387.exe

C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\813.exe

C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\354.exe

C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\323.exe

C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\135.exe

C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\033.exe

C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\922.exe

C:\Programme\CA\eTrustITM\realmon.exe

C:\Programme\Lenovo\Client Security Solution\cssauth.exe

C:\PROGRA~1\GDATA~1\AVKCLI~1\AvkCl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\787.exe

C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

C:\Programme\Internet Explorer\iexplore.exe

c:\programme\g data\avkclient\Firewall\GDFwSvc.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Dokumente und Einstellungen\prohaskam\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTWZ5CMD\stinger1001624[1].exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

[widersacher 10]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Customize Your Settings

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\bndmss.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\836.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\118.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\010.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\787.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\117.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\185.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\348.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\183.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\387.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\327.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\813.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\941.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\599.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\354.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\135.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\323.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\896.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\033.exe,C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\922.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: ThinkVantage Password Manager - {F040E541-A427-4CF7-85D8-75E3E0F476C5} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll

O4 - HKLM\..\Run: [Windows Network Data Management System Service] "C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\348.exe" *

O4 - HKLM\..\Run: [Realtime Monitor] "C:\Programme\CA\eTrustITM\realmon.exe" -s

O4 - HKLM\..\Run: [cssauth] "C:\Programme\Lenovo\Client Security Solution\cssauth.exe" silent

O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE

O4 - HKLM\..\Run: [AVK Client] "C:\PROGRA~1\GDATA~1\AVKCLI~1\AvkCl.exe" /GUI

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Windows Network Data Management System Service] "C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\348.exe" *

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

[widersacher 10]

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll

O9 - Extra 'Tools' menuitem: ThinkVantage Password Manager... - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll

O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O15 - Trusted Zone: TREND MICRO HouseCall 6.5

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase1140.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228312149348

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

[widersacher 10]

ist viel zu viel für hier, kann ich es dir schicken?

[olc 18]

Hi,

 

Du hast auf jeden Fall mindestens eine Malware auf dem System:

O4 - HKCU\..\Run: [Windows Network Data Management System Service] "C:\DOKUME~1\PROHAS~2\LOKALE~1\Temp\348.exe" *

 

Siehe dazu: ThreatExpert Report: Mal/Heuri-D bzw. Mal/Heuri-D [sophos] | ThreatExpert Statistics

 

Ich persönlich würde die Maschine neu installieren, solltest Du eine gute Datensicherung haben.

 

Ansonsten kannst Du wie oben angesprochen mit diversen Produkten versuchen, das System zu "reinigen". Jedoch ist das meist nicht wirklich von Erfolg gekrönt bzw. kannst Du dem System schlichtweg nicht mehr trauen. Also mach es lieber neu. ;)

 

Viele Grüße

olc

[XP-Fan 217]

Hallo widersacher,

 

der Auszug reicht schon aus um dir dringend zu empfehlen deine Daten zu sichern und

den Rechner neu aufzusetzen. Trotz deiner 2 ( einer zuviel ) Antivirenprogramme hat es

wohl ein Schädling auf dein System geschafft. Dieser repliziert sich selbstständig mit immer

neuen Namen .... fast zwecklos zu versuchen ausser du hast ne Menge Erfahrung.

 

Mach dein System einmal neu und du solltest wieder Ruhe haben, diesmal aber nur ein Virenschutz

installieren, ich würde GData bevorzugen. :)

[twenty 12]

Hast du schon die Dateien in deinem Temp-Verzeichnis untersucht? Sind das die Watchdog's vom Trend Micro OfficeScan?

[varnik 10]

Im abgesicherten Modus lösche die Datei

C:\WINDOWS\system32\bndmss.exe

bzw. verschiebe diese in ein temporäres Verzeichnis und starte den Rechner neu.

Erscheinen dann diese ???.exe Dateien?