Hackerboard Wiki HaboBlog
Hackerboard bei Facebook Hackerboard bei Google+ Hackerboard bei Twitter

[HaBo]

 
(In)security allgemein Sicherheit, Anonymität im Netz. Schutz und Maßnahmen. Prävention und Konzepte. Sicherheitsarchitekturen allgemein und auf der Netzwerkebene.

Prozesse im Taskmanager - welche sind Schädlinge?

Diskussion: Prozesse im Taskmanager - welche sind Schädlinge? im Forum (In)security allgemein, in der Kategorie Security Area; Hallo zusammen! Ich habe von PC's recht wenig Ahnung und deswegen hoffe ich hier auf professionelle Hilfe, für die ich ...

Antwort
Alt 22.11.05, 22:38   #1 (permalink)
 
Registriert seit: 22.11.05
truelife Leistung: Facit NTK
Likes: 0
Standard Prozesse im Taskmanager - welche sind Schädlinge?

Hallo zusammen! Ich habe von PC's recht wenig Ahnung und deswegen hoffe ich hier auf professionelle Hilfe, für die ich mich im Vorraus bedanken möchte!

Seit einiger Zeit ist mein PC langsamer als gewöhnlich. Hier mal die Eckdaten:

Windows XP mit SP2
Firewall: windowsinterne
Antivirenprogramm: AntiVir personal
Spurenverwischer: TraxEx

Immer wenn ich den Task-Manager öffne und mir die Prozesse anzeigen lasse, verringert sich die Zahl kurz nach dem Aufrufen. Das macht mich stutzig und deswegen habe ich mich hier angemeldet. Hier die aktuell laufenden Prozesse:

kernel.exe
sc_watch.exe
ToAdiMon.exe
Ramsys.exe
PROFIL~1.exe
notifier.exe
wscntfyn.exe
scrsvr.exe
alg.exe
IEXPLORE.EXE
sc_watch.exe
REMIND32.EXE
backweb8876480.exe
gmt.exe
WkCalRem.exe
ctfmon.exe
AVSCHED32.EXE
AVGNT.EXE
qttask.exe
jusched.exe
WkUFind.exe
SOUNDMAN.EXE
ICQlite.exe
InCD.exe
spoolsv.exe
wuauclt.exe
explorer.exe
svchost.exe
svchost.exe
taskmgr.exe
InCDsrv.exe
svchost.exe
PROFIL~1.exe
svchost.exe
svchost.exe
kernel.exe
lsass.exe
services.exe
winlogon.exe
csrss.exe
svchost.exe
smss.exe
nvsvc32.exe
vsmon.exe
AVWURSRV.EXE
AVGUARD.EXE
msdtc,exe
dllhost.exe
System
Leerlaufprozess

Ich danke euch für eure Hilfe!

truelife ist offline   Mit Zitat antworten
Alt 22.11.05, 22:57   #2 (permalink)
Member of Honour
 
Registriert seit: 11.09.03
Watchme Leistung: Z3
Likes: 11
Standard

Mal google benutzt? nein?

kurze einfuehrung:

du nimmst jeden Prozess der da drin steht, und tippst ihn ein. drueckst auf Google-suche und das erste oder 2. ergebnis sagt dir, was das fuer ein Prozess ist!

Viel Spass....

und was davon ein echter Schaedling ist sagt dir dein Anti-Viren-programm
Watchme ist offline   Mit Zitat antworten
   
HaBOT
 

Werbung ist gerade online    
Alt 22.11.05, 23:13   #3 (permalink)
CDW
Moderator
 
Benutzerbild von CDW
 
Registriert seit: 20.07.05
CDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPR
Likes: 681
Standard

Zitat:
Immer wenn ich den Task-Manager öffne und mir die Prozesse anzeigen lasse, verringert sich die Zahl kurz nach dem Aufrufen. Das macht mich stutzig und deswegen habe ich mich hier angemeldet. Hier die aktuell laufenden Prozesse:
hm, das heißt, wir bekommen die "zensierte" liste zu sehen und dürfen raten, was das ist ?
Außerdem sind Pfade gaaanz wichtig - eine svhost.exe in C:\windows ist was anderes als eine svhost.exe in C:\windows\system32
Versuche es mal mit einem Hijackthislog
http://hjt.hoffie-server.de/howto_de.html
Es gibt zwar keine 100% Garantie, aber vielleicht wird man da mehr erkennen können (wenn die Malware sich schon so "primitiv" versteckt - einfach die Liste des Taskmanagers manipulieren).
Du kannst auch den Processexplorer von Sysinternals benutzen (aber da muss man eher selber was beurteilen).

Zitat:
und was davon ein echter Schaedling ist sagt dir dein Anti-Viren-programm
offenbar nicht ...
Zitat:
Antivirenprogramm: AntiVir personal
was micht persönlich nicht wirklich wundert
__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.
CDW ist offline   Mit Zitat antworten
Alt 22.11.05, 23:19   #4 (permalink)
Themenstarter
 
Registriert seit: 22.11.05
truelife Leistung: Facit NTK
Likes: 0
Standard

Danke für den tollen Tipp! Wenn ich viel Ahnung davon hätte, bräuchte ich euch nicht.

Nehmen wir den ersten: kernel.exe ist laut google virus und systemdatei. toll!

Virus : http://frankn.com/html/kernel_exe.php
Systemdatei : http://www.flashforum.de/forum/archi.../t-153906.html

Was denn nun?

Edit: Danke CDW. Wie gesagt, ich weis das man keine Mailanhänge öffnen soll und ich kann mit Excel umgehen. Der Rest ist mir schleierhaft. Also: was immer ich schreibe, es ist nicht spaßeshalber gemeint...

Mit HijackThis ergibt sich:

Logfile of HijackThis v1.99.1
Scan saved at 23:24:17, on 22.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
F:\Programme\AntiVirPersonal\AVGNT.EXE
F:\Programme\AntiVirPersonal\AVSched32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
F:\PROGRAMME\ANTIVIRPERSONAL\AVGUARD.EXE
F:\Programme\AntiVirPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\dllhost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Luisa\Desktop\Sven\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\AntiVirPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] F:\Programme\AntiVirPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TraXEx 3.0.lnk = C:\Programme\TraXEx\TraXEx.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120243990940
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA57A513-7ECC-4A29-9A8B-9DA0221CF720}: NameServer = 217.237.150.141 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\PROGRAMME\ANTIVIRPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AntiVirPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
truelife ist offline   Mit Zitat antworten
Alt 22.11.05, 23:48   #5 (permalink)
CDW
Moderator
 
Benutzerbild von CDW
 
Registriert seit: 20.07.05
CDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPRCDW Leistung: WOPR
Likes: 681
Standard

mal auf die "schnelle": der ganze T-Online Ornder gefällt mir nicht so richtig, meine Recherche ergab jetzt, dass die Telekomiker tatsächlich ihre Softwarekomponente so nennen.
http://virusscan.jotti.org/
das ist ein Onlinescanner mit mehreren Engines - was nie schaden kann, alles was Dir in der Liste verdächtig vorkommt einfach mal testen.
Ich sehe im Moment nichts auffälliges, was aber eventuell an der späten Stunde liegen kann . Ich schaue morgen, wenn ich wieder zu Hause bin, nochmal drüber (bin aber nicht gerade ein Experte ), vielleicht schauen auch noch ein paar andere sich den Log an.

PS: das hier ist zwar nicht so gut wie ProcessExplorer, dafür aber Einsteigerfreundlicher:
http://www.neuber.com/taskmanager/download.html
__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.
CDW ist offline   Mit Zitat antworten
Alt 23.11.05, 16:52   #6 (permalink)
Themenstarter
 
Registriert seit: 22.11.05
truelife Leistung: Facit NTK
Likes: 0
Standard

Hallo CDW,

im T-Online - Ordner befindet sich eine kernel.exe. Im Internet heißt es das es ein Virus sei, nur müsste sie sich eigentlich in einem anderen Ordner befinden...

Deswegen: ich habe davon keine Ahnung, deswegen frage ich halt euch...
truelife ist offline   Mit Zitat antworten
Alt 23.11.05, 16:59   #7 (permalink)
Senior Member
 
Benutzerbild von odigo
 
Registriert seit: 25.12.04
odigo Leistung: Pentium Iodigo Leistung: Pentium I
Likes: 78
Standard

Wenn du dir bei einer Datei nicht sicher bist, ob es ein Virus ist und dein Virenscanner nichts findet, lad sie mal bei http://www.virustotal.com hoch und lass sie überprüfen.

odigo
odigo ist offline   Mit Zitat antworten
Alt 23.11.05, 20:19   #8 (permalink)
 
Registriert seit: 20.09.05
Nick H. Leistung: Facit NTK
Likes: 0
Standard

also ich hab auch ne Kernel.exe im T-online dings
das ist auch das Hauptprogram vom ganzen
kann natürlich sein das ausgerechnet da einer drin is
aber allgemein sicher nicht, das wärs ja...
Nick H. ist offline   Mit Zitat antworten
Alt 25.11.05, 22:58   #9 (permalink)
Themenstarter
 
Registriert seit: 22.11.05
truelife Leistung: Facit NTK
Likes: 0
Standard

Und was ist mit den restlichen Prozessen?
truelife ist offline   Mit Zitat antworten
Alt 26.11.05, 00:20   #10 (permalink)
 
Registriert seit: 22.11.05
jorey Leistung: Facit NTK
Likes: 0
Arrow

Hab mal kurz gegoogelt und en Forum gefunden, dass sich hauptsächlich mit so Themen befasst, wenn du auch dort mal nachfragst, kann es bestimmt nicht schaden.
Mit so Sachen kenn ich mich selber nicht so aus, sons würde ich gleich versuchen selber ne antwort zu geben, aber so gehts doch auch.

http://board.protecus.de/

Mc Goodi
jorey ist offline   Mit Zitat antworten
Alt 26.11.05, 11:13   #11 (permalink)
Themenstarter
 
Registriert seit: 22.11.05
truelife Leistung: Facit NTK
Likes: 0
Standard

Danke Mc Goodi, werde mich da anmelden.

Danke an alle, die mir hier halfen und macht so weiter!
truelife ist offline   Mit Zitat antworten
Alt 26.11.05, 12:30   #12 (permalink)
Member of Honour
 
Benutzerbild von SUID:root
 
Registriert seit: 04.09.04
SUID:root Leistung: Facit NTK
Likes: 1
Standard

Zitat:
Original von Mc Goodi
Hab mal kurz gegoogelt und en Forum gefunden, dass sich hauptsächlich mit so Themen befasst, wenn du auch dort mal nachfragst, kann es bestimmt nicht schaden.
Mit so Sachen kenn ich mich selber nicht so aus, sons würde ich gleich versuchen selber ne antwort zu geben, aber so gehts doch auch.

http://board.protecus.de/

Mc Goodi
Nanana, das ist aber nicht die feine Art, User von unserem Board an ein anderes zu verweisen.
Wir behandeln sowas auch, in "Tools-aggressive Software"

truelife, ich habe mir das Logfile angesehen und stimme CDW zu. Kann dort nichts ungewöhnliches finden. Alle Prozesse sind legitim.

Gruss

root
SUID:root ist offline   Mit Zitat antworten
Alt 26.11.05, 12:57   #13 (permalink)
 
Registriert seit: 22.11.05
jorey Leistung: Facit NTK
Likes: 0
Smile

bitte.
@ root: so war das ja auch nicht gemeint, natürlich kann er hier fragen, nur wenn er trotzdem noch irgendwelche Probleme hat, oder er es nicht genau versteht, kann er ja auf eine Seite gehen, die sich hauptsächlich mit so was beschäftigt.
Ich denke mal, dass auf dieser Seite die ihm die meisten Leute helfen können und ich sehs immer so nach dem Motto ,,Doppelt genäht hält besser".
Und somit kann er ja auch dem Board helfen, wenn er dort vll eine Antwort bekommt, die zwar nahe liegt, auf die hier aber genau deshalb niemand kommt, kann er die Lösung posten und wenn jemand später das gleiche Prob hat, kann er sich die Lösung anschauen.
( Soll jetzt nicht heißen, dass er hier keine Antwort bekommt, aber halt dass er dort nochmal nachhacken kann und somit vll mehrere hilfreiche Lösungen kommen)

Mc Goodi

P.S.: Wenn ich solche Postings lassen soll, werde ich das auch nicht mehr machen.
jorey ist offline   Mit Zitat antworten
Alt 26.11.05, 15:50   #14 (permalink)
Themenstarter
 
Registriert seit: 22.11.05
truelife Leistung: Facit NTK
Likes: 0
Standard

Dann liegt es an etwas anderem... falls ich noch etwas bemerken sollte, melde ich mich nochmal...
truelife ist offline   Mit Zitat antworten
Antwort
   
- Anzeige -

Werbung ist gerade online    

[HaBo] » Security Area » (In)security allgemein » Prozesse im Taskmanager - welche sind Schädlinge?
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
checken welche dlls gehookt sind MaUs# Code Kitchen 4 04.07.07 22:36
Welche Kenntnisse sind von Vorteil ^quit HaBo Lounge 8 30.01.06 23:40
Welche Verbindungen sind dass? C.A.S.E. (In)security allgemein 4 07.11.04 17:59
Welche Tiefkühlpizzen sind eure Favoriten? maedmexx Umfragen 16 06.05.04 23:18
Welche Winamp-Plugins sind Pflicht? maedmexx Music- & Filmbox 6 03.09.02 14:23


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62