Prozesse im Taskmanager - welche sind Schädlinge?

Hallo zusammen! Ich habe von PC's recht wenig Ahnung und deswegen hoffe ich hier auf professionelle Hilfe, für die ich mich im Vorraus bedanken möchte!

Seit einiger Zeit ist mein PC langsamer als gewöhnlich. Hier mal die Eckdaten:

Windows XP mit SP2
Firewall: windowsinterne
Antivirenprogramm: AntiVir personal
Spurenverwischer: TraxEx

Immer wenn ich den Task-Manager öffne und mir die Prozesse anzeigen lasse, verringert sich die Zahl kurz nach dem Aufrufen. Das macht mich stutzig und deswegen habe ich mich hier angemeldet. Hier die aktuell laufenden Prozesse:

kernel.exe
sc_watch.exe
ToAdiMon.exe
Ramsys.exe
PROFIL~1.exe
notifier.exe
wscntfyn.exe
scrsvr.exe
alg.exe
IEXPLORE.EXE
sc_watch.exe
REMIND32.EXE
backweb8876480.exe
gmt.exe
WkCalRem.exe
ctfmon.exe
AVSCHED32.EXE
AVGNT.EXE
qttask.exe
jusched.exe
WkUFind.exe
SOUNDMAN.EXE
ICQlite.exe
InCD.exe
spoolsv.exe
wuauclt.exe
explorer.exe
svchost.exe
svchost.exe
taskmgr.exe
InCDsrv.exe
svchost.exe
PROFIL~1.exe
svchost.exe
svchost.exe
kernel.exe
lsass.exe
services.exe
winlogon.exe
csrss.exe
svchost.exe
smss.exe
nvsvc32.exe
vsmon.exe
AVWURSRV.EXE
AVGUARD.EXE
msdtc,exe
dllhost.exe
System
Leerlaufprozess

Ich danke euch für eure Hilfe!
 
Mal google benutzt? nein?

kurze einfuehrung:

du nimmst jeden Prozess der da drin steht, und tippst ihn ein. drueckst auf Google-suche und das erste oder 2. ergebnis sagt dir, was das fuer ein Prozess ist!

Viel Spass.... :D

und was davon ein echter Schaedling ist sagt dir dein Anti-Viren-programm
 
Immer wenn ich den Task-Manager öffne und mir die Prozesse anzeigen lasse, verringert sich die Zahl kurz nach dem Aufrufen. Das macht mich stutzig und deswegen habe ich mich hier angemeldet. Hier die aktuell laufenden Prozesse:
hm, das heißt, wir bekommen die "zensierte" liste zu sehen und dürfen raten, was das ist ;) ?
Außerdem sind Pfade gaaanz wichtig - eine svhost.exe in C:\windows ist was anderes als eine svhost.exe in C:\windows\system32
Versuche es mal mit einem Hijackthislog
http://hjt.hoffie-server.de/howto_de.html
Es gibt zwar keine 100% Garantie, aber vielleicht wird man da mehr erkennen können (wenn die Malware sich schon so "primitiv" versteckt - einfach die Liste des Taskmanagers manipulieren).
Du kannst auch den Processexplorer von Sysinternals benutzen (aber da muss man eher selber was beurteilen).

und was davon ein echter Schaedling ist sagt dir dein Anti-Viren-programm
offenbar nicht ...
Antivirenprogramm: AntiVir personal
was micht persönlich nicht wirklich wundert :rolleyes:
 
Danke für den tollen Tipp! Wenn ich viel Ahnung davon hätte, bräuchte ich euch nicht.

Nehmen wir den ersten: kernel.exe ist laut google virus und systemdatei. toll!

Virus : http://frankn.com/html/kernel_exe.php
Systemdatei : http://www.flashforum.de/forum/archive/index.php/t-153906.html

Was denn nun?

Edit: Danke CDW. Wie gesagt, ich weis das man keine Mailanhänge öffnen soll und ich kann mit Excel umgehen. Der Rest ist mir schleierhaft. Also: was immer ich schreibe, es ist nicht spaßeshalber gemeint...

Mit HijackThis ergibt sich:

Logfile of HijackThis v1.99.1
Scan saved at 23:24:17, on 22.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
F:\Programme\AntiVirPersonal\AVGNT.EXE
F:\Programme\AntiVirPersonal\AVSched32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
F:\PROGRAMME\ANTIVIRPERSONAL\AVGUARD.EXE
F:\Programme\AntiVirPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\dllhost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Luisa\Desktop\Sven\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\AntiVirPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] F:\Programme\AntiVirPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TraXEx 3.0.lnk = C:\Programme\TraXEx\TraXEx.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120243990940
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA57A513-7ECC-4A29-9A8B-9DA0221CF720}: NameServer = 217.237.150.141 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\PROGRAMME\ANTIVIRPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AntiVirPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 
mal auf die "schnelle": der ganze T-Online Ornder gefällt mir nicht so richtig, meine Recherche ergab jetzt, dass die Telekomiker tatsächlich ihre Softwarekomponente so nennen.
http://virusscan.jotti.org/
das ist ein Onlinescanner mit mehreren Engines - was nie schaden kann, alles was Dir in der Liste verdächtig vorkommt einfach mal testen.
Ich sehe im Moment nichts auffälliges, was aber eventuell an der späten Stunde liegen kann ;) . Ich schaue morgen, wenn ich wieder zu Hause bin, nochmal drüber (bin aber nicht gerade ein Experte ;) ), vielleicht schauen auch noch ein paar andere sich den Log an.

PS: das hier ist zwar nicht so gut wie ProcessExplorer, dafür aber Einsteigerfreundlicher:
http://www.neuber.com/taskmanager/download.html
 
Hallo CDW,

im T-Online - Ordner befindet sich eine kernel.exe. Im Internet heißt es das es ein Virus sei, nur müsste sie sich eigentlich in einem anderen Ordner befinden...

Deswegen: ich habe davon keine Ahnung, deswegen frage ich halt euch...
 
also ich hab auch ne Kernel.exe im T-online dings
das ist auch das Hauptprogram vom ganzen
kann natürlich sein das ausgerechnet da einer drin is
aber allgemein sicher nicht, das wärs ja...
 
Hab mal kurz gegoogelt und en Forum gefunden, dass sich hauptsächlich mit so Themen befasst, wenn du auch dort mal nachfragst, kann es bestimmt nicht schaden.
Mit so Sachen kenn ich mich selber nicht so aus, sons würde ich gleich versuchen selber ne antwort zu geben, aber so gehts doch auch. ;)

http://board.protecus.de/

Mc Goodi
 
Original von Mc Goodi
Hab mal kurz gegoogelt und en Forum gefunden, dass sich hauptsächlich mit so Themen befasst, wenn du auch dort mal nachfragst, kann es bestimmt nicht schaden.
Mit so Sachen kenn ich mich selber nicht so aus, sons würde ich gleich versuchen selber ne antwort zu geben, aber so gehts doch auch. ;)

http://board.protecus.de/

Mc Goodi

Nanana, das ist aber nicht die feine Art, User von unserem Board an ein anderes zu verweisen. ;)
Wir behandeln sowas auch, in "Tools-aggressive Software"

truelife, ich habe mir das Logfile angesehen und stimme CDW zu. Kann dort nichts ungewöhnliches finden. Alle Prozesse sind legitim.

Gruss

root
 
bitte.
@ root: so war das ja auch nicht gemeint, natürlich kann er hier fragen, nur wenn er trotzdem noch irgendwelche Probleme hat, oder er es nicht genau versteht, kann er ja auf eine Seite gehen, die sich hauptsächlich mit so was beschäftigt.
Ich denke mal, dass auf dieser Seite die ihm die meisten Leute helfen können und ich sehs immer so nach dem Motto ,,Doppelt genäht hält besser".
Und somit kann er ja auch dem Board helfen, wenn er dort vll eine Antwort bekommt, die zwar nahe liegt, auf die hier aber genau deshalb niemand kommt, kann er die Lösung posten und wenn jemand später das gleiche Prob hat, kann er sich die Lösung anschauen.
( Soll jetzt nicht heißen, dass er hier keine Antwort bekommt, aber halt dass er dort nochmal nachhacken kann und somit vll mehrere hilfreiche Lösungen kommen)

Mc Goodi

P.S.: Wenn ich solche Postings lassen soll, werde ich das auch nicht mehr machen.
 
Zurück
Oben