Prozess 'Facebook' - wtf

Razorblade

Razorblade

SNF-Inventarnr. #9356663
Hi!

Gelegentlich kommt mir beim herunterfahren die Meldung dass der Prozess "Facebook" (ohne .exe) nicht beendet werden kann.

Kennt das jmnd?

Ich hab schon versucht danach zu suchen, aber da bekomm ich nur Treffer bezüglich des Sozialen Netzwerks.
(Imho eine gute Methode das finden von Lösungen schwieriger zu machen wenn es ein Schadprogramm ist...)

Ich hab auch als Attachment ein Foto vom Bildschirm gemacht.
Ich weis leider nicht, wie ich den Shutdown zu diesem Zeitpunkt abbrechen kann, weil shutdown -a funktioniert da nicht sonst hätt ich mehr infos für euch...
 

Anhänge

  • DSC00768.jpg
    DSC00768.jpg
    697,4 KB · Aufrufe: 558
Code: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:14:33, on 18.08.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVAST Software\Avast\avastUI.exe
C:\Programme\D-Link\SharePort\SharePort.exe
C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinRoll\winroll.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\Dropbox.exe
D:\AutoHotkey\Project tools.exe\tools.exe
D:\Load!\Load.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AIMP2\AIMP2.exe
C:\Programme\Opera\opera.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
D:\T.O.O.L.S\[SYSTEM]\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~3\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [avast] "C:\Programme\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [D-Link SharePort] C:\Programme\D-Link\SharePort\SharePort.exe -mini
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [BCSSync] "C:\Programme\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinRoll] "C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences /a logon
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Dropbox\bin\Dropbox.exe
O4 - Startup: tools.lnk = D:\AutoHotkey\Project tools.exe\tools.exe
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/RELEASECAB/install.cab
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: avast! Antivirus - AVAST Software - C:\Programme\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6220 bytes
 
Die Auswertung sagt, dass folgendes als schädlich eingestuft wurde:
D:\Load!\Load.exe

Mein Vorschlag wäre außerdem, im Taskmanager nach einer facebook.exe zu suchen. Falls es sie gibt, mache mal einen Rechtsklick darauf und klicke auf "Dateipfad öffnen", um festzustellen, wo sie sich befindet.
 
Yeah, Load! wird gelegentlich als schädlich eingestuft, aber ich benutz das Programm jetzt schon seit 4 Jahren oder so und hab damit noch keine Probleme gehabt...

Im Taskmanager hab ich schon geschaut (schon früher) aber es gibt keine facebook.exe und auch keinen Dienst namens Facebook.
 
Wenn im Windows-Taskmanager nichts zu finden ist, hast du vielleicht mit dem ProcessExplorer mehr Erfolg. Läuft ohne Installation.

Sind in der Ereignisanzeige auffällige Einträge zu finden?
 
Damn, auf den Process Explorer hätt ich selbst denken können...
Aber ich seh da keine auffälligen Einträge (siehe Attachment)

In der Ereignisanzeige seh ich auch nichts auffälliges, auch nichts was an dem Tag zu dem Zeitpunkt geschah...
 

Anhänge

  • pexpl.png
    pexpl.png
    67,7 KB · Aufrufe: 306
Mal ganz bescheiden nachgefragt:

Könnte das nicht Facemoods sein?

Google mal nach "Facemoods" - soviele rote Kringel im WOT hast du schon lange nicht mehr gesehen... ;)
 
Oh, auch facebook.exe ist nett ;)

Viel Spaß falls es einer von denen ist:
FACEBOOK.EXE, Prevx

Mindestens eine Variante kann sich vor Scans verstecken, die meisten sind Dropper, das bedeutet, sie laden auch nach und dann ist eh alles im A****h.
Evtl. mal einen Offline scan mit einer Boot CD machen und bei Infektion:
Backups vorhanden?
 
Eine Datei names Facebook.exe ist, würde ich vermuten, höchstwahrscheinlich ein Virus, da viele (fast alle) Menschen dort registriert sind. Daher schließen ahnungslose Benuzter solch einen Task auch nicht.

Schonmal mit dem CMD-Befehl
Code: 
taskkill /f /im Facebook
oder
Code: 
taskkill /f /im Facebook.exe
probiert?

Wird der Prozess denn mit dem Befel
Code: 
tasklist
erkannt?
Einfach mal
Code: 
tasklist > C:\tasklist.txt
starten und das TXT-File hier hochladen oder selbst drin schnüffeln.

Ansonsten kann ich die aktuellen Avira AntiVir Rescue Systems empfehlen, eine Boot-CD, die offline nach Rootkits oder Viren sucht.

Ich hoffe, du findest schnell den Grund deines Problems und Gruß
bastla
 
@lt: Ich hab in der Tat mal aus versehen facemoods installiert (damn werbung die aussieht wie n downloadlink auf nem och) aber hab sie dann wieder deinstalliert. Zumindest wird sie AFAIR (bin gerade @home mit laptop, nicht bei dem betreffenden pc) in der systemsteuerung nicht mehr angezeigt.
Ich werd morgen nochmal schauen und sofern facemoods nicht gelistet wird mit myuninstaller und ccleaner nachschauen.

@QuHno: Wenns tatsächlich der Dropper is, dann müsste ich doch nen komischen Prozess irgendwo (taskmgr, process explorer, dienste, ...) sehen, oder?!?
Backup... tja, sorta. Alle Daten sind auf ner anderen Festplatte, aber nichts extern gesichert. Bin gerade etwas klamm, d.h. kommt auch eine neue externe nicht in frage und bei dvd's brenn ich ne weile (abgesehen vom kostenfaktor bei 500 GB)...

@bastla: Irgendwo im hinterkopf hab ich herumgeistern das tasklist.exe handles von taskmgr.exe verwendet, daher sollte dasselbe rauskommen.
Ich werds aber morgen mal probieren.


Na denn, ich werd mal ne av-bootdisk laden...
 
Wenn die Daten auf einer anderen Platte sind, kannst Du das System doch relativ einfach neu aufsetzen, denn Daten sind normalerweise nicht gefährlich, solange man sie nicht öffnet - und da kann man vorher nachsehen, ob sie was eingebaut haben...

Dass Du ihn nicht mehr siehst, kann daran liegen, dass er sich schon umbenannt hat. Ich weiß gerade nicht, ob das Teil auch eine Rootkit Funktionalität hat, wenn ja, kannst Du ihn bei laufendem System mit einem Systemwerkzeug meistens eh nicht sehen.

Hier eine kleine Anleitung zum Finden mit mehr oder weniger Bordmitteln:
RZ - Hinweise zur Entfernung von Viren unter Windows-Betriebssystemen
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben