Guten Abend liebe Community.
Ich wende mich an euch da ich selbst nicht mehr weiter komme.
Meine Services.exe frisst nach dem internet aufbau unmengen an speicher bis meine cpu auslastung bei 100% liegt.
Schaut euch am besten das Logfile an.
Ich werde daraus nicht schlau und bin echt am verzweifeln.
Danke für eure Hilfe schonmal.
Mfg.
Shorty80

p.s:
Ich habe versucht das problem mit folgenden programmen zu lösen: Kaspersky , Adware , spybot und nod32 .

Logfile of HijackThis v1.99.1
Scan saved at 8:55:42 PM, on 3/08/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\ShortY\Desktop\Neuer Ordner\HijackThis.exe

O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Das ist leider nicht das gesamte LogFile.
Arbeitest du mit einer 30-Tage-Testversion von Kaspersky??
PP

Zitat:

Zitat von PeterPan

Das ist leider nicht das gesamte LogFile.
Arbeitest du mit einer 30-Tage-Testversion von Kaspersky??
PP

OOps da habe ich wohl die falsche log datei kopiert.
Nein ich benutze eine Vollversion von Kaspersky.
hier die richtige :

Logfile of HijackThis v1.99.1
Scan saved at 8:30:45 PM, on 3/08/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\ShortY\LOKALE~1\Temp\Rar$EX00.406\KillBox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ShortY\LOKALE~1\Temp\Rar$EX00.641\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Win32] msnsrv.exe
O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif
O4 - HKCU\..\RunServices: [OS Security] mswind32.pif
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &MyToolBar Search - res://C:\Programme\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Download All by FlashGet - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/ca...C_2.1.2.76.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112350540541
O17 - HKLM\System\CCS\Services\Tcpip\..\{70EEFB2E-E77D-43B3-B851-FCDD21FFED3B}: NameServer = 62.72.64.237,62.72.64.241
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4DC4CD5-6734-4B09-A237-20B338C507F9}: NameServer = 62.72.64.237 62.72.64.241
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\fast.dll C:\WINDOWS\System32\chkntfs.dll
O21 - SSODL: zdacBcSqHOCjD - {20529DC2-8AF8-3768-EAAC-ED2459BF51B3} - (no file)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Bitte keine aktiven Links!!

Grrrrrr,
http://www.sophos.de/security/analyses/w32sdbotaj.html

Ich glaube da

Zitat:

O4 - HKLM\..\RunServices: [Win32] msnsrv.exe

steckt bei dir ein Problem.
Laß das Forum noch mal über deine Liste schauen.

Zitat:

W32/Sdbot-AJ legt eine Datei namens MSNSRV.EXE im Windows-Systemordner ab, die als Troj/Bdoor-RQ erkannt wird. W32/Sdbot-AJ legt außerdem die Datei A.BAT im Temp-Ordner ab, die als Bat/Botsecure-A erkannt wird.

Dein PC ist in fremder Hand.
(Internet trennen!!) usw....

Zitat:

Trojaner infizieren Computer, jedoch infizieren sie keine Dateien. Sie können einfach identifiziert und gelöscht werden. Jedoch nehmen sie häufig Änderungen an der Registrierung oder den Startdateien vor, damit sie beim Booten ausgeführt werden. In den Bedrohungsanalysen finden Sie nähere Informationen zu diesem Verhalten.

Falls du Ordnung auf dein System bekommst, prüfe, welche deiner Passworte und persönlichen Daten bekannt geworden sind.
PP

Ich habe die Datei im Abgesicherten Modus gelöscht.
Allerdings ohne Erfolg.
Die Services.exe frisst nach dem aufbau ins Internet nach und nach Speicher und ich bin gewzungen den PC neuzustarten...

*cry*
Ich hoffe jemand von euch kann mir da weiter helfen habe schon so einiges versucht und komme nicht weiter.

Zitat:

W32/Sdbot-AJ ist ein Wurm, der versucht, sich über remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoor-Trojaner-Funktionen, wodurch er unbefugten Fernzugriff auf den infizierten Computer via IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund läuft.
W32/Sdbot-AJ verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, wenn das Backdoor-Trojaner-Element den entsprechenden Befehl von einem remoten Benutzer erhält.
W32/Sdbot-AJ kopiert sich als GT.EXE in den Windows-Systemordner und erstellt Einträge in der Registrierung an den folgenden Stellen, damit er beim Systemstart aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
W32/Sdbot-AJ legt eine Datei namens MSNSRV.EXE im Windows-Systemordner ab, die als Troj/Bdoor-RQ erkannt wird. W32/Sdbot-AJ legt außerdem die Datei A.BAT im Temp-Ordner ab, die als Bat/Botsecure-A erkannt wird.

Sorry, es ist ein langer Weg bis dein System wieder sauber ist.....
wenn überhaupt.
Nur die Datei zu löschen hilft nicht.
Siehe oben.
Und bedenke, dein PC ist schon in fremder Hand.
Was der/die gerade installieren, findest du in keiner Beschreibung mehr.
Das Preiswerteste bleibt dein System neu aufzusetzen.

Alles was du hier schreibst und von uns geraten bekommst, lesen die eventuell mit.
Schalte deinen PC vorerst ab und lies mit einem sauberen PC hier weiter.

PP

Krass.
Danke für deine Informationen ich mache mein Windows neu.
Bringt ja alles nichts.
Mfg.
ShortY80

Danke, eine kluge Entscheidung!
Was dir passiert ist, kann jedem passieren, fast jedem.
Wer weiß, was inzwischen über deinen PC an Spam in das Internet gesendet wurde.
Diejenigen, die deinen PC gerade benutzen, erforschen nicht etwa das Weltall,
sondern handeln aus purem Egoismus und totalem Commerz.

Denen würde ich nicht mal den Strom aus meiner Steckdose gönnen.
Kampf den Trojanern.

Du bist seit ca. 20 Minuten mit deinem PC (Spamschleuder) nun schon online...
bitte denke an die anderen!

PP

Hier findest Du Hilfe:
http://www.trojaner-board.de/showthread.php?t=12154