| |
| |||||||
Log-Analyse und Auswertung: Services.exe ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
04.12.2005, 12:24
| #1 |
 |  Services.exe ? Hallo, ich bin neu hier im forum und hab direkt mal eine frage: Und zwar vermute ich das ich mir einen trojaner oder ähnliches eingefangen habe der sich als services.exe tarnt. Soweit ich weiß läuft die services.exe datei unter C:/windows/system meins ist aber unter C:/windows abgelegt. Es wird auch als böse bei der HijackThis analyse eingestuft. Nur da das teil im windows ordner ist wollt ich erst mal hier fragen wie ich vorgehen soll bevor ich noch meinen pc schrotte  [edit] Achso ich kamm auf die idee das dass ein trojaner oder so ist, weil mein antivir nicht mehr mit startet beim hochfahren und ich es auch nicht manuel anschalten kann es wird direkt wieder ausgeschaltet. Also hier mein HijackThis log: Logfile of HijackThis v1.99.1 Scan saved at 12:18:21, on 04.12.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Avast!\aswUpdSv.exe C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Avast!\ashServ.exe C:\Dokumente und Einstellungen\xxxDesktop\Alle Dateien\Kerio Firewall\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\xx\Desktop\Alle Dateien\Kerio Firewall\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\services.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Dark Age of Camelot - Butterfly\DAoCButterfly\DAoCButterfly.exe C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Kerio Firewall\Personal Firewall 4\kpf4gui.exe C:\DOKUME~1\xxx\Desktop\ALLEDA~1\AVANTB~1\iexplore.exe C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/ F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\xxx\Desktop\ALLEDA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [avast!] C:\DOKUME~1\xxx\Desktop\ALLEDA~1\Avast!\ashDisp.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: DAoCButterfly.lnk = C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Dark Age of Camelot - Butterfly\DAoCButterfly\DAoCButterfly.exe O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\DOKUME~1\Michael\Desktop\ALLEDA~1\AVANTB~1\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - C:\DOKUME~1\Michael\Desktop\ALLEDA~1\AVANTB~1\Highlight.htm O8 - Extra context menu item: Suchen - C:\DOKUME~1\xxxl\Desktop\ALLEDA~1\AVANTB~1\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\DOKUME~1\xxx\Desktop\ALLEDA~1\AVANTB~1\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\DOKUME~1\xxx\Desktop\ALLEDA~1\AVANTB~1\OpenAllLinks.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/Pes...r/pestscan.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{25EC96C5-62CA-4AD4-8165-4B565ECEBE2E}: NameServer = 81.173.194.68 213.168.112.60 O17 - HKLM\System\CS1\Services\Tcpip\..\{25EC96C5-62CA-4AD4-8165-4B565ECEBE2E}: NameServer = 81.173.194.68 213.168.112.60 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Avast!\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Avast!\ashServ.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Dokumente und Einstellungen\xxx\Desktop\Alle Dateien\Kerio Firewall\Personal Firewall 4\kpf4ss.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe Hoffe ihr könnt mir weiter helfen, wen ihr in dem log sonst noch waas anderes bösartiges oder so findet könnt ihr auch ruhig sagen. Gruss Michael P.S: Seit gestern ist mir das "problem" aufgefallen und seit gestern geht auch dieses "zelt" auf der taste links neben der 1 |
|
04.12.2005, 12:30
| #2 |
  | Services.exe ? Hallo,
__________________also auf jeden fall wäre mal ein update auf SP 2 machen. da dein system im moment sehr anfällig ist. desweiteren weiss ich nicht was dieser eintrag zu bedeuten hat: C:\WINDOWS\services.exe der läuft nämlich norml nicht da. mal warten was andere noch sagen. gruß
__________________ |
|
04.12.2005, 12:34
| #3 | |
 | Services.exe ? Hallo,
__________________überprüfe bitte diese beiden Dateien online bei http://virusscan.jotti.org/de und kopiere das Ergebnis in diesen Thread. Zitat:
|
|
04.12.2005, 12:35
| #4 |
| | Services.exe ? Update auf sp2 hab ich schon mehrmals probiert was aber nur probleme mit der firewall oder so nach sich zieht. Selbst wen ich die windows firewall ausschalte hab ich bei einem online game (was ich immer spiele) derbe probs (verzerte figuren und nach ein paar sekunden keine verbindung mehr zum server) dadrum hab ich das immer runter gelassen  Wegen dem C:\WINDOWS\services.exe Das meinte ich ja, eigendlich darf das da doch garnicht sein sondern nur in einem anderen ordner (?). Dadrum meine vermutung auf viren etc. [edit] hab die beiden datein geprüft, kamm bei beiden folgende meldung: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file Gruß Michael |
|
04.12.2005, 12:49
| #5 |
| | Services.exe ? Beende die beiden Prozesse vorher im Taskmanager bzw. mit dem Process Explorer. |
|
04.12.2005, 12:56
| #6 |
| | Services.exe ? Bei Process Explorer ist 2 mal services.exe drin. Bei einem steht bei Description Anwendung für Dienste und Controller beim anderen nichts. und fservices.exe ist da garnicht drin. Hab jetz erst mal nur den services.exe beendet der keine description hatte. hab dan wieder versucht hoch zu laden ging nicht. [edti] Kurz nach dem ich den einen services.exe beendet hatte kam folgende meldung: C:\Windows\system32\fservice.exe Auf dem angegebenen Gerät, bzw. dem Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Objekt zugreifen zu können. Die meldung kommt auch wen ich den pc starte Geändert von Maximus (04.12.2005 um 13:01 Uhr) |
|
04.12.2005, 13:02
| #7 |
| | Services.exe ? Der Process Explorer zeigt dir auch den Dateipfad an.  Dann versuchen wir's eben so: Erstelle einen neuen Ordner "Neu" direkt auf C: Sieht dann so aus "C:\Neu" Start-> Ausführen-> "cmd" -> [Enter] Gib in der erscheinenden Eingabeaufforderung folgendes ein: copy C:\WINDOWS\services.exe C:\Neu\services.exe_alt --> [Enter] copy C:\WINDOWS\system32\fservice.exe C:\Neu\fservice.exe_alt --> [Enter] Prüfe die Dateien aus C:\Neu BTW: Ich will eigentlich nur auf Nummer sicher gehen. Es dürfte sich um einen Vertreter der Prorat-Familie handeln. Sollte sich mein Verdacht bewahrheiten, bleibt dir als einzig sichere Lösung leider nur ein Neuaufsetzen des Betriebssystems. |
|
| Themen zu Services.exe ? |
| antivir, antivirus, avast, avast!, bho, desktop, einstellungen, explorer, firewall, frage, helfen, hijack, hijackthis, hijackthis log, internet, internet explorer, log, manuel, neu, ordner, problem, programme, server, services.exe, software, suche, trojaner, windows xp |
Hybrid-Darstellung
