Trojaner als Webbrowser getarnt?

J

Jacky75

Neuling
Thread Starter
Mitglied seit
18.05.2009
Beiträge
4
Hallo liebe Community,

ich versuche mal mein Problem zu schildern.
Ich habe neuerdings im Taskmanager zwei Instanzen meines FireFox laufen.
Schließe ich FireFox, bleibt dennoch eine Instanz im Taskmanager bestehen.

Wenn ich mir jetzt z.B. die Größe ansehe, beträgt die tatsächliche Größe meines laufenden Browsers 107.612kb die versteckte Instanz läuft kontinuierlich mit 6.244kb im Hintergrund weiter.
Ich frage mich jetzt, ob das ein Trojaner sein könnte.
Neue Programme habe ich in letzter Zeit nicht bewusst installiert.

Also ich habe schon sämtliche Programme drüber laufen lassen, angefangen von HiJack This, über AdAware, F-Secure alles gescannt, aber immer Fehlanzeige. Es wurde mir keine schädliche Software angezeigt.
Meine Host Datei zeigt auch keine Änderungen auf, bin völlig ratlos.

Mittlerweile habe ich versucht ein paar Dateien auf die das Programm anscheinend zugreift umzubenennen, allerdings auch ohne Erfolg.

Kille ich die Instanz aus dem Taskmanager, öffnet sich für eine Millisekunde ein Prozess namens "Update.exe" liegt im Windows/Syytem32 Verzeichnis, schließt sich und danach öffnet sich wieder dieser 2te Prozess meines Webbrowsers. Ich habe FireFox schon deinstalliert, aber danach hat er das Gleiche mit dem IExplorer gemacht. Firefox neu installiert - reboot - das gleiche Problem. Ich meine herausgefunden zu haben, das anscheinend die Dateien

Update.exe
Unsecapp.exe
Isuspm.cpl

irgendwie darin verwickelt sind. Diese Unsecapp.exe startet nämlich neuerdings auch immer nach einem Neustart mit, was sie zuvor nicht getan hat. In den Autostart Einträgen finde ich allerdings keine anderen Programme, die nicht auch schon zuvor mitgestartet worden wären, bevor das ganze Desaster begonnen hat. Vielleicht kennt ja jemand dieses Problem, oder könnte mir, abgesehen von einer Neuinstallation des BS, helfen.
Vielen lieben Dank schon einmal.

Anbei poste ich mal meinen HJT Logfile.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:11, on 18.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsqh.exe
C:\Programme\F-Secure\FSPC\fspc.exe
C:\Programme\F-Secure\ORSP Client\fsorsp.exe
C:\Programme\F-Secure\FSAUA\program\fsaua.exe
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure\FSAUA\program\fsus.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\smax4.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\F-Secure\FSGUI\fsguidll.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\DeltaIITray.exe
C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
L:\Anwender\ICQ6\ICQ.exe
C:\Programme\Firefoxy\firefox.exe
C:\PROGRA~1\INTERN~1\IEXPLO~1.EXE <--- das ist diese Datei (jetzt als IExplorer getarnt, nachdem ich FireFox deinstalliert hatte)
K:\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\DeltaIITray.exe
O4 - HKLM\..\Run: [DeltaIITaskbarApp] C:\WINDOWS\system32\DeltaIITray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] L:\Anwender\ICQ6\\ICQNet.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "K:\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure\FSPC\fspcmsie.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - L:\Anwender\ICQ6\\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - L:\Anwender\ICQ6\\ICQ.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - L:\Anwender\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - L:\Anwender\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programme\F-Secure\ORSP Client\fsorsp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe


Gruß
Jacky
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Okay, danke.

Habe die Datei mal hochgeladen - das ist das Ergebnis.
Sagt mir nicht wirklich mehr jetzt.

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.18 -
AhnLab-V3 5.0.0.2 2009.05.18 -
AntiVir 7.9.0.168 2009.05.18 -
Antiy-AVL 2.0.3.1 2009.05.18 -
Authentium 5.1.2.4 2009.05.18 -
Avast 4.8.1335.0 2009.05.18 -
AVG 8.5.0.336 2009.05.18 -
BitDefender 7.2 2009.05.18 -
CAT-QuickHeal 10.00 2009.05.15 -
ClamAV 0.94.1 2009.05.18 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.18 -
eSafe 7.0.17.0 2009.05.18 -
eTrust-Vet 31.6.6509 2009.05.18 -
F-Prot 4.4.4.56 2009.05.18 -
F-Secure 8.0.14470.0 2009.05.18 -
Fortinet 3.117.0.0 2009.05.18 -
GData 19 2009.05.18 -
Ikarus T3.1.1.49.0 2009.05.18 -
K7AntiVirus 7.10.737 2009.05.16 -
Kaspersky 7.0.0.125 2009.05.18 -
McAfee 5619 2009.05.18 -
McAfee+Artemis 5619 2009.05.18 -
McAfee-GW-Edition 6.7.6 2009.05.18 -
Microsoft 1.4602 2009.05.18 -
NOD32 4084 2009.05.18 -
Norman 6.01.05 2009.05.18 -
nProtect 2009.1.8.0 2009.05.18 -
Panda 10.0.0.14 2009.05.18 -
PCTools 4.4.2.0 2009.05.18 -
Prevx 3.0 2009.05.18 Medium Risk Malware
Rising 21.30.04.00 2009.05.18 -
Sophos 4.41.0 2009.05.18 -
Sunbelt 3.2.1858.2 2009.05.18 -
Symantec 1.4.4.12 2009.05.18 -
TheHacker 6.3.4.1.326 2009.05.18 -
TrendMicro 8.950.0.1092 2009.05.18 -
VBA32 3.12.10.5 2009.05.18 -
ViRobot 2009.5.18.1739 2009.05.18 -
VirusBuster 4.6.5.0 2009.05.18 -
weitere Informationen
File size: 46461 bytes
MD5...: d2041f387b4ff641e6e8c07c858613f9
SHA1..: 3c695da00142f920969f84dd6273305e470069b8
SHA256: 30fe60992a794f3dcb64f777a83acd5d0ca289e70c642f07a38127b9cc228c51
SHA512: da93040027d94e1acda0c9426277b1894b003ae27f7e92c6c0046fd03f71d7f9
0567a50cbdaec7d2c5f1a68c646f566ff82f4c076cae3b6bf7d08f0fd5409333
ssdeep: 768:L19kHbPh/BA0DAFeG8AgZ94eFJ3bV0eq4weLi3yY8Yit5TV+F2p3oPggVhS3
mzJq:wHbvd2e4i9oHo+Yp3oYgHSWtj+JWm
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3138
timedatestamp.....: 0x4a02e30b (Thu May 07 13:32:59 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x22c2 0x2400 5.84 4a7c827db74c881f88adc1911e7f47c1
.rdata 0x4000 0x5f2 0x600 4.94 1375a49814bf261e52689e02451692f2
.data 0x5000 0x4e8 0x400 5.00 a50d96feb41f6b98a821d82e127212ec
.rsrc 0x6000 0x815c 0x837d 7.94 c8c5d6d2ac6d90976ea6ea7a8e86cb93

( 4 imports )
> KERNEL32.dll: LoadLibraryA, GetModuleHandleA, GetProcAddress, CreateThread, Sleep, ExitProcess, GetStartupInfoA
> USER32.dll: LoadImageA, ReleaseDC, GetDCEx, GetWindowRect, SetTimer, WaitMessage, DispatchMessageA, TranslateMessage, PeekMessageA, ShowWindow, SetFocus, UpdateWindow, EndDialog, DefWindowProcA, DestroyWindow, MessageBeep, DialogBoxParamA, PostQuitMessage, LoadIconA, LoadCursorA, RegisterClassA, GetSystemMetrics, CreateWindowExA
> GDI32.dll: CreateCompatibleBitmap, CreateRectRgnIndirect, DeleteObject, GetStockObject, GetObjectA
> MSVCRT.dll: _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, free, memset, getenv, sprintf, memcpy, __2@YAPAXI@Z, atoi, _except_handler3, strlen, rand

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=90ACF6F17D684223B57E007F2A5815009B729C81' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=90ACF6F17D684223B57E007F2A5815009B729C81</a>

Achso, wenn ich die "update.exe" umbenenne oder lösche - und den Prozess dann kille - erscheint die "update.exe" wieder neu im Verzeichnis. Kann das sein, dass es sich um eine MS Systemdatei handelt?
 
Hallo,

also ich bin eigentlich überzeugt dieses Programm niemals benutzt zu haben.
Überlege mir gerade schon das System nicht neu aufzuspielen, allerdings finde ich meine blöde Mainboard CD nicht mehr... :-[
Treiber zwar schon aus dem Netz runtergeladen, aber ob das funzen wird....:hmm:
 
gib mal bei ausführen msconfig ein
und kuck wo das gestartet wird
dan lösche C:\PROGRA~1\INTERN~1\IEXPLO~1.EXE
und die update exe
 
Hi,

also in der msconfig steht leider kein Starteintrag.
Das komische ist ja, das es die jeweilige .exe des benutzten Webbrowsers ist, den man verwendet. Sobald ich die update.exe lösche, wird diese neu im system32 verzeichnis erstellt. Sehr komisch das Ganze.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh