Geister-Prozess von HiJackFree entdeckt

[KeenEye]

Hi Leute!

Ich schaue mir immer wieder an, welche Programme/Dienste etc. so auf meinem PC im Hintergrund laufen. Habe hierfür ein neues Tool entdeckt, HiJackFree. Klasse, muß ich sagen.

Dieses Tool listet mir sogar ein paar mir bisher noch nicht bekannte Autostart-Prozesse auf, so auch den grau unterlegten unter Sonstiges/ExplorerAddons (Bild 1). Nur leider, und das ist das Merkwürdige, wird weder Name noch Ort für diesen Prozess angegeben!????
Unter Prozess-Details sieht man, daß der Geist via Autostart gestartet ist.

Der Registry-Eintrag in dem Pfad macht mich auch nicht schlauer (Bild 2).

Mit dem Tool kann ich den Prozess löschen, fahre ich Win 7 Ultimate 64 aber wieder hoch, ist der Eintrag wieder da.

HiJackthis, Avira melden, alles klar, keine Probs.

Womit habe ich es bei diesem Prozess zu tun, wie erfahre ich näheres, etc.?

Weiß jemand von euch weiter?

(Habe im Emsisoft-Forum schon gepostet, keiner antwortet.)

 

[Trackballfan]

Frage doch mal Google.

 

[Proti]

http://www.processlibrary.com/

 

[Ruwinho]

Probier das doch mal aus und schaue ob du mit dem Programm mehr darüber erfährst und ob das Programm es auch findet:

http://www.hijackthis.de/de

 

[Engaged]

sieht aus wie office2010. wenn avira und hijackthis sagen is ok wird wohl so sein
ich habe laut avira auch unsichtbare einbträge zb o&o defrag usw, würde mal hijackthis logfile uploaden wie oben schon genannt dann kannste komentare zu jedem prozess lesen.

 

[KeenEye]

Also hier das Log.


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:13:02, on 28.10.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\SysWOW64\HsMgr.exe
C:\Program Files\ASUS Xonar D2X Audio\Customapp\ASUSAUDIOCENTER.EXE
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: AutorunsDisabled
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://E:\MICROS~1\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: Windows7FirewallService - Sphinx Software - C:\Program Files\Windows7FirewallControl\Windows7FirewallService.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 5102 bytes

Was sollen eigentlich die ganzen File missing? Autoruns von Sysinternals meldet den nvvsvc.exe als gestartet, er fehlt aber definitiv!?

 

[Ruwinho]

Sieht alles in Ordnung aus. Du kannst aufatmen, es laufen keine bösen Prozesse.

 

[KeenEye]

Jau, schönen Dank, schon mal beruhigend.

Aber irgendwie muß ich doch herausfinden können, welcher Prozeß sich hinter dem Eintrag verbirgt. Wie mache ich das?

Nochmal zu den files missing. Wieso sind soviele davon nicht an "ihrem Platz", obwohl z.B. Autoruns die Routinen als gestartet meldet?

 

[Dr. Greg House]

Ist ein Fehler von Hijackthis bei Win7.
Hab ich letztens auch bemerkt und nachgeguckt.

 

[werkam]

Wahrscheinlich weil Du den Process Explorer nur mit Adminrechten starten kannst, Highjack aber nicht, deshalb kann er den Pfad zu den Systemdateien (@%systemroot%\system32) wohl nicht selbst sehen, genau diese findet er ja nicht. Teste es wenn Du den Highjack als Administartor startest ob es dann auch so ist.

 

[Dr. Greg House]

Das funktioniert auch mit Adminrechten nicht, ist ein bekannter Bug.

 

[werkam]

Wäre ja evtl eine Erklärung gewesen, kann es nicht testen mangels W7.

 

[BrollyLSSJ]

Also wenns n W7 64 Bit ist und HiJackThis und co. 32 Bit sind, muesst ihr den Pfad eventuell umdenken => system32 ist naemlich die 64 Bit Variante und die echte Datei bei einem 32 Bit Firefox liegt dann im SysWOW64 Verzeichnis. Das ist aber ein schon laenger bekanntes Problem (Secunia PSI hat den auch).