Hallo! Ich hab ein mysteriöses Problem bei 2 meiner Rechner, beim einen ist im Taskmanager stets eine Instanz vom IE 6 zu finden, beim anderen eine von Firefox. Wenn man sie schließt kommen sie binnen Sekunden wieder, mit der selben Speicherauslastung. Mein Verdacht: ein Trojaner oder anderes Unkraut, aber AntiVir zuckt trotz neuesten Definitionen nur mit den Schultern. Updates laufen auch keine oder sowas in der Art, Neustarts bringen nichts.

Hatte jemand hier schonmal so n Unding auf dem Rechner? Wäre für Hilfe sehr dankbar

mmm...

Herausfinden, woher die Dateien kommen. Achte auf die genaue Schreibweise und such danach.
Alternativ HijackThis laden und das Logfile auf deren Seite auswerten lassen.
Wenn du so einen anderen Standort/ mehrere Standorte gefunden hast, wo die Programme gestartet werden, dann kannst du die "falsche" Datei hier hochladen und scannen lassen:
http://virusscan.jotti.org/ oder
http://www.virustotal.com/en/indexf.html

also vom Namen her sinds die Original exe's, wo kann ich denn sehen von welchem Ort aus die gestartet werden? Der Taskmanager lässt das leider vermissen

Hijackthis gab folgendes aus: eine der Firefox Instanzen ist in \Programme\Mozilla Firefox\firefox.exe zu finden, die andere in C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

Was hat das mit der Groß und Kleinschreibung auf sich?

Einmal wird es sich um den Reg-Eintrag handeln und einmal um den Ort der ausgeführten Datei (Programm im Task-Manager). Wichtig ist aber nicht Firefox oder der IE, sondern der andere Prozess, welche bei dir auf beide Programm zu zugreifen zu scheint. Vielleicht solltest du einfach mal das HiJackThis-Log hier posten.

Grüße

Hijackthis gab folgendes aus: eine der Firefox Instanzen ist in \Programme\Mozilla Firefox\firefox.exe zu finden, die andere in C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

Was hat das mit der Groß und Kleinschreibung auf sich?mmm...

Die Pfadangabe ist in Ordnung, es ist die alte DOS- Syntax. DOS kann nur 8 Zeichen (+ 3 weitere für die Endung) verwenden, weshalb es so komisch abgebrochen wird (6 Zeichen + Tilde + der wieviele Ordner, der auf die Darstellung passt).

Naja das mit DOS war mir klar, mich wunderts nur dass Firefox einmal normal und einmal wie in DOS dargestellt wird, kann das daran liegen dass Firefox zb durch die Konsole geöffnet worden ist?

..oder mal nen anderen Scanner online drüber schicken....
z.B. kaspersky --> http://www.kaspersky.com/service?chapter=161739400 <-- mag z.Z. bei mir ned laden...
oder Panda --> http://www.pandasoftware.com/activescan

Greets & gl
S@uDepp

Naja das mit DOS war mir klar, mich wunderts nur dass Firefox einmal normal und einmal wie in DOS dargestellt wird, kann das daran liegen dass Firefox zb durch die Konsole geöffnet worden ist?mmm...

Gute Frage, denke ja. Das könntest du eigentlich selber testen und firefox einfach nochmal per Konsole aufrufen.
Aber das beantwortet nicht die Frage, warum die Processe sich selber aufrufen ...

Sooo, die liebe Sygate FW war mir sehr hilfreich: der Hintergrundprozess will kontakt aufnehmen mit

amcrew.no-ip.info 87.78.209.98 über remote port 3460 (EDM Manager EDM Manger)

Verkehr ist nun geblockt. Aber wie werde ich diesen offensichtlich brand neuen und/oder unauffindbaren Trojaner los? Virenscanner zeigen sich gelangweilt

mmm...

Poste mal das Log von HijackThis.
Ansonsten fällt mir gerade das Rootkit für Arme ein, wo einfach ein Programm ausgetauscht wird und das falsche Programm das richtige danach aufruft.
Spybot und (von Lavasoft, Ad-aware?) könntest du ansonsten auch mal drüberlaufen lassen ...

amcrew.no-ip.info 87.78.209.98 über remote port 3460 (EDM Manager EDM Manger)Da telefoniert eindeutig etwas nach Hause. Und um den Post des Logfiles von HJT habe ich ja schon gebeten.

Grüße

bei highjack stand ja nix drin. außer halt das was ich gepostet hab. habe ihn den Übeltäter aber gefunden: Antivir hat ihn plötzlich doch erkannt als ich durch zufall durch den Ordner getappt bin in dem er sich niedergelassen hat.

TR/Oreans.A.1.A

Glaube ich verlasse AntiVir nun, scheint mir zu unverlässig wenn es trotz schärfster Einstellungen einen Trojaner nicht aufzuspüren vermag...

Danke an alle!

Was für eine Dateiprüfung hast Du im Scanner und im Guard angegeben ?
Das sollte von Dateierweiterungsliste mindestens auf automatisch gestellt werden und beim Scanner auf alle. Bei Verdacht auf Virus auch den Guard auf alle stellen.

bei highjack stand ja nix drin. außer halt das was ich gepostet hab. habe ihn den Übeltäter aber gefunden: Antivir hat ihn plötzlich doch erkannt als ich durch zufall durch den Ordner getappt bin in dem er sich niedergelassen hat.

TR/Oreans.A.1.A

Glaube ich verlasse AntiVir nun, scheint mir zu unverlässig wenn es trotz schärfster Einstellungen einen Trojaner nicht aufzuspüren vermag...

Danke an alle!mmm...

Es könnte sein, dass du deine HDD mal wieder komplett durchscannen lassen solltest. Ebenso ist die Frage, wann ein Update reingekommen ist. Eventuell kennt Antivir das Teil erst seit eben.

Wegen HijackThis, wir können es immernoch besser interpretieren als eine Webseite ;) ...

Moin!
Ich hab gerade bei mir das selbe Problem gelöst. Also ihr müsst aus dem Programm Ordner des Firefox den Ordner mit dem Namen "update" oder "updates" komplett löschen. Falls es irgendwo die Dateien: "active-update.xml" oder "update.xml" gibt, diese auch löschen.
Dann im Firefox unter "Hilfe" auf "Firefox aktualisieren" klicken. Dann wird die neueste Version downgeloadet und der Firefox neu gestartet. Die Installation beginnt, wenn man den Firefox neu startet. Notfalls muss der zweite geöffnete Firefox, welcher nicht in der TaskLeiste zu sehen ist, aus dem TaskManager entfernt werden.
Ich habs gerade gemacht, das Problem is weg! Ich wünsch euch viel Glück bei der Behebung des Problems!

Das "Problem" ist 10 Monate alt. Ich glaube das hat sich schon von alleine gelöst.