[HaBo]

SteVe_O · 27.12.07, 19:23

Hallo liebe Habo Community.

Auf meinem Rechner glaube ich spukt es.
System: Windows Vista Ultimate
Virenscan mit free-av im Abgesicherten modus: keine Funde
Adaware 20077: keine funde

Okay, seit letzter Zeit öffnet sich immer wieder sporadisch ein Fenster das mich fragt mit welchem Programm ich die NTUSER.DAT.LOG1 denn öffnen möchte ohne diese geöffnet zu haben. Ausserdem kommt es manchmal vor, dass wenn ich in einem Passwortfenster grad ein Passwort eintippen will oder in irgendein Formularfeld, dass wenn ich in das Formularfeld klicke sofort irgendein zufälliger Buchstabe an erster stelle erscheint ohne Ihn geschrieben zu haben. Ich weiss nicht ob es zusammenhängt aber der Antivir Guard lässt sich nicht einschalten. Könnt ihr euch einen zusammenhang daraus erklären? Ich leider nicht und deshalb wollte ich euch um Rat fragen ob es sich hier um einen Trojaner, Rootkit oder sonstiges handelt. Der Rechner ist noch sehr neu, steht hinter ner Hardwarefirewall und Vista ist noch net wirklich zugemüllt.

Der einzig Auffällige Prozess im Taskmanager is p2phost.exe aber wie ich gelesen hab is desn Dienst von Windows Vista.

Ich würde michüber eure Ratschläge freuen. Bis dann.

Mit freundlichen Grüßen

SteVe_o

**lightsaver** · 27.12.07, 20:04

also da wir jetzt munter drauf los raten könnten empfehle ich dir erstmal einen scan mit hijackthis ( hijackthis.de ). du brauchst bei vista glaube ich die aktuelle beta-version, musst also da mal ein wenig suchen. das log postest du dann mal hier.

einen rat hätte ich aber noch:
wenn du der meinung bist, es könnte ein rootkit sein, dann empfehle ich dir im zweifelsfall eine komplette neuinstallation empfehlen, da wir dieses eigentlich nicht entdecken könnten, wenn es einigermaßen gut programmiert ist

Anzeige

- Anzeige -

Chakky · 27.12.07, 23:20

naja wenn der guard nicht mehr startet und dies auch nicht nach neuinstallieren tut dann ist es sehr verdächtig!

hast mal ein alternativen taskmanager genutz? wie process explorer (nicht vergessen das ding mit admin rechten zu starten ansonsten kannte nix killen)

evtl versteckt sich ja was, was vom windows eignen taskmanager versteckt wird

quux · 27.12.07, 23:29

@Chakky:
Wenn bei ihm ein Rootkit installiert sein sollte wird ihm der ProcessExplorer auch net mehr weiterhelfen.

Daher empfehle ich auch eine komplette Neuinstallation (und nicht vergessen dabei zu formatieren!)
Ich wär dann auch bei der Sicherung der Daten sehr vorsichtig, da diese nun evtl auch infiziert sein könnten.

28.12.07, 14:49

Die besagten Dateien selbst gehoeren zu Windows dazu. Das ist zu 99% wohl in Ordnung.

Vermutlich hast du irgendwas vergeigt bzw. irgendwelche Einstellungen vorgenommen.
Du solltest deine Frage nochmal im Microsoft Forum stellen

SteVe_O · 29.12.07, 16:42

also leute danke bisher für die vielen Antworten ich hab mal des Programm rootkit revealer runtergeladen und versucht zu starten, geht auch net

hier die log vom Process explorer:

Zitat:

Process PID CPU Description Company Name
System Idle Process 0 97.66
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 392 Windows Session Manager Microsoft Corporation
csrss.exe 480 Client-Server-Laufzeitprozess Microsoft Corporation
wininit.exe 524 Windows-Startanwendung Microsoft Corporation
services.exe 584 Anwendung für Dienste und Controller Microsoft Corporation
svchost.exe 796 Hostprozess für Windows-Dienste Microsoft Corporation
ehmsas.exe 284 Media Center Media Status Aggregator Service Microsoft Corporation
WmiPrvSE.exe 4040 WMI Provider Host Microsoft Corporation
unsecapp.exe 4072 Sink to receive asynchronous callbacks for WMI client application Microsoft Corporation
svchost.exe 852 Hostprozess für Windows-Dienste Microsoft Corporation
svchost.exe 884 Hostprozess für Windows-Dienste Microsoft Corporation
svchost.exe 936 Hostprozess für Windows-Dienste Microsoft Corporation
audiodg.exe 320 Windows Graphisolierung für Audiogeräte Microsoft Corporation
svchost.exe 968 Hostprozess für Windows-Dienste Microsoft Corporation
dwm.exe 1052 2.34 Desktopfenster-Manager Microsoft Corporation
WUDFHost.exe 2888 Windows Driver Foundation - Benutzermodus-Treiberframework-Hostprozess Microsoft Corporation
svchost.exe 1000 Hostprozess für Windows-Dienste Microsoft Corporation
taskeng.exe 2060 Aufgabenplanungsmodul Microsoft Corporation
taskeng.exe 3268 Aufgabenplanungsmodul Microsoft Corporation
RtWLan.exe 3332 RtWLan (ASUS) Application AzureWave.com
taskeng.exe 3316 Aufgabenplanungsmodul Microsoft Corporation
SLsvc.exe 416 Microsoft-Softwarelizenzierungsdienst Microsoft Corporation
svchost.exe 552 Hostprozess für Windows-Dienste Microsoft Corporation
Smc.exe 1064 Sygate Agent Firewall Sygate Technologies, Inc.
svchost.exe 1176 Hostprozess für Windows-Dienste Microsoft Corporation
aawservice.exe 1332 Ad-Aware 2007 Service Lavasoft AB
spoolsv.exe 1452 Spoolersubsystem-Anwendung Microsoft Corporation
svchost.exe 1476 Hostprozess für Windows-Dienste Microsoft Corporation
sched.exe 2304 Antivirus Scheduler Avira GmbH
WLanNetService.exe 2356 AVMWlanService AVM Berlin
svchost.exe 2448 Hostprozess für Windows-Dienste Microsoft Corporation
svchost.exe 2484 Hostprozess für Windows-Dienste Microsoft Corporation
svchost.exe 2516 Hostprozess für Windows-Dienste Microsoft Corporation
SearchIndexer.exe 2568 Microsoft Windows Search Indexer Microsoft Corporation
SearchProtocolHost.exe 3808 Microsoft Windows Search Protocol Host Microsoft Corporation
SearchFilterHost.exe 3180 Microsoft Windows Search Filter Host Microsoft Corporation
wmpnetwk.exe 3816 Windows Media Player-Netzwerkfreigabedienst Microsoft Corporation
lsass.exe 600 Local Security Authority Process Microsoft Corporation
lsm.exe 608 Lokaler Sitzungs-Manager-Dienst Microsoft Corporation
csrss.exe 544 Client-Server-Laufzeitprozess Microsoft Corporation
winlogon.exe 680 Windows-Anmeldeanwendung Microsoft Corporation
explorer.exe 1516 Windows-Explorer Microsoft Corporation
MSASCui.exe 1636 Windows Defender User Interface Microsoft Corporation
sidebar.exe 288 Windows-Sidebar Microsoft Corporation
ehtray.exe 744 Media Center Tray Applet Microsoft Corporation
p2phost.exe 1220 Personen in meiner Umgebung Microsoft Corporation
syncappw.exe 1092
firefox.exe 3236 Firefox Mozilla Corporation
procexp.exe 4000 Sysinternals Process Explorer Sysinternals
procexp64.exe 2688 Sysinternals Process Explorer Sysinternals
soffice.exe 1500 OpenOffice.org 2.1 OpenOffice.org
soffice.bin 1308 OpenOffice.org 2.1 OpenOffice.org
ICQLite.exe 1616 ICQLite ICQ Ltd.
WLanGUI.exe 1648 FRITZ!WLAN GUI AVM Berlin
jusched.exe 2032 Java(TM) Platform SE binary Sun Microsystems, Inc.
AsRc.exe 1720
AsDHRemote.exe 1136 ASUS DH Remote T-wins
avgnt.exe 760 Antivirus System Tray Tool Avira GmbH
wmpnscfg.exe 1856 Windows Media Player Network Sharing Service Configuration Application Microsoft Corporation

smaster100 · 29.12.07, 18:15

Ob du jetzt eine Virus hast oder nicht, kannst du nicht mit Sicherheit sagen.
Das beste ist wirklich, wie schon erwähnt wurde, das komplette System zu formatieren und neu aufzusetzen...

gr33z
CoMpRoOt

Anzeige

- Anzeige -

27.12.07, 19:23	#1 (permalink)
SteVe_O Registriert seit: 25.08.04 Likes: 0	Vista - ich bin nicht allein? Trojaner? Rootkit? Anzeige Hallo liebe Habo Community. Auf meinem Rechner glaube ich spukt es. System: Windows Vista Ultimate Virenscan mit free-av im Abgesicherten modus: keine Funde Adaware 20077: keine funde Okay, seit letzter Zeit öffnet sich immer wieder sporadisch ein Fenster das mich fragt mit welchem Programm ich die NTUSER.DAT.LOG1 denn öffnen möchte ohne diese geöffnet zu haben. Ausserdem kommt es manchmal vor, dass wenn ich in einem Passwortfenster grad ein Passwort eintippen will oder in irgendein Formularfeld, dass wenn ich in das Formularfeld klicke sofort irgendein zufälliger Buchstabe an erster stelle erscheint ohne Ihn geschrieben zu haben. Ich weiss nicht ob es zusammenhängt aber der Antivir Guard lässt sich nicht einschalten. Könnt ihr euch einen zusammenhang daraus erklären? Ich leider nicht und deshalb wollte ich euch um Rat fragen ob es sich hier um einen Trojaner, Rootkit oder sonstiges handelt. Der Rechner ist noch sehr neu, steht hinter ner Hardwarefirewall und Vista ist noch net wirklich zugemüllt. Der einzig Auffällige Prozess im Taskmanager is p2phost.exe aber wie ich gelesen hab is desn Dienst von Windows Vista. Ich würde michüber eure Ratschläge freuen. Bis dann. Mit freundlichen Grüßen SteVe_o

27.12.07, 23:20	#3 (permalink)
Chakky Senior Member Registriert seit: 28.10.03 Likes: 110	naja wenn der guard nicht mehr startet und dies auch nicht nach neuinstallieren tut dann ist es sehr verdächtig! hast mal ein alternativen taskmanager genutz? wie process explorer (nicht vergessen das ding mit admin rechten zu starten ansonsten kannte nix killen) evtl versteckt sich ja was, was vom windows eignen taskmanager versteckt wird __________________ cu Chakky we are dreaming in digital we are living in realtime we are thinking in binary we are talking in IP welcome to our world

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Trojaner oder nicht?	eevo	Virenschutz · Tools & Aggressive Software	5	06.10.08 22:14
Malware oder Trojaner unter Vista	carbon1980	Virenschutz · Tools & Aggressive Software	3	08.10.07 10:19
Trojaner mit Rootkit	olmz	Virenschutz · Tools & Aggressive Software	14	25.03.07 12:02
Bekomme Trojaner nicht weg	AbraXas	Virenschutz · Tools & Aggressive Software	5	06.03.06 11:06
Rechner startet von allein neu	bodom667	Hardware Probleme	12	24.11.04 23:28

27.12.07, 20:04	#2 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	also da wir jetzt munter drauf los raten könnten empfehle ich dir erstmal einen scan mit hijackthis ( hijackthis.de ). du brauchst bei vista glaube ich die aktuelle beta-version, musst also da mal ein wenig suchen. das log postest du dann mal hier. einen rat hätte ich aber noch: wenn du der meinung bist, es könnte ein rootkit sein, dann empfehle ich dir im zweifelsfall eine komplette neuinstallation empfehlen, da wir dieses eigentlich nicht entdecken könnten, wenn es einigermaßen gut programmiert ist

27.12.07, 23:29	#4 (permalink)
quux Registriert seit: 09.01.07 Likes: 0	@Chakky: Wenn bei ihm ein Rootkit installiert sein sollte wird ihm der ProcessExplorer auch net mehr weiterhelfen. Daher empfehle ich auch eine komplette Neuinstallation (und nicht vergessen dabei zu formatieren!) Ich wär dann auch bei der Sicherung der Daten sehr vorsichtig, da diese nun evtl auch infiziert sein könnten.

28.12.07, 14:49	#5 (permalink)
Gulliver Guest Likes:	Die besagten Dateien selbst gehoeren zu Windows dazu. Das ist zu 99% wohl in Ordnung. Vermutlich hast du irgendwas vergeigt bzw. irgendwelche Einstellungen vorgenommen. Du solltest deine Frage nochmal im Microsoft Forum stellen

29.12.07, 18:15	#7 (permalink)
smaster100 Registriert seit: 17.09.07 Likes: 0	Ob du jetzt eine Virus hast oder nicht, kannst du nicht mit Sicherheit sagen. Das beste ist wirklich, wie schon erwähnt wurde, das komplette System zu formatieren und neu aufzusetzen... gr33z CoMpRoOt

[HaBo]

Vista - ich bin nicht allein? Trojaner? Rootkit?