Virenscanner erkennt adv.exe und services.exe im Temp Ordner

Ozzelot · 14.10.2006, 14:44

Hallo,

also mein Virenscanner erkennt die letzten Tagen jedesmal kurz nach dem ich ins Internet gehe 2 Dateien als Trojaner im C:/Windows/Temp/ Ordner. Einmal die Datei adv.exe und einmal services.exe die beiden Dateien verschwinden auch kurze Zeit später wieder aber auch wenn ich nichts im Internet mache scheint meine Leitung ziemlich ausgelastet zu sein. Kann mir wer helfen?

Hier noch der HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:18:00, on 14.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\mxs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\KB754830.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Ozzelot©\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {BCD2AF6E-4271-6572-6429-A63F26792311} - C:\WINDOWS\System32\msjke.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://s1.teamlearn.de/qp2.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FE0F5A9-6FF3-4179-9FCD-9585D0CAFD5A}: NameServer = 85.255.116.55,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{49A0A081-0B18-47EB-A012-96513AE63DD7}: NameServer = 85.255.116.55,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{58602A05-56C2-43F2-86F4-53B66D25F7C1}: NameServer = 85.255.116.55,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{F14D6C7C-33E6-4EBE-AFA2-534B735A9FFA}: NameServer = 85.255.116.55,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4EC18B4-7312-4475-8DAF-1E5CE04869D6}: NameServer = 85.255.116.55 85.255.112.136
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe (file missing)

Danke schonmal im Vorraus.
Gruß Ozzelot

**Sunny** · 14.10.2006, 16:16

Hallo.

Dein System ist als kompromittiert zu betrachten, da eine ganze handvoll Trojaner und zusätzlich auch noch eine DNS-Umleitung dein System in der Hand hat.

Dein Provider sitzt jetzt in der Ukraine:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{3FE0F5A9-6FF3-4179-9FCD-9585D0CAFD5A}: NameServer = 85.255.116.55,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{49A0A081-0B18-47EB-A012-96513AE63DD7}: NameServer = 85.255.116.55,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{58602A05-56C2-43F2-86F4-53B66D25F7C1}: NameServer = 85.255.116.55,85.255.112.136

Diese Schädlinge sind in deinem System aktiv:

Troj/Agobot-A
Troj/Goldun-AH

Sowie noch jede Menge andere Schädlinge.

Der eizigste Weg für eine Bereinigung ist eine Neuinstallation, alles andere wäre sinnfrei und zwecklos.

Und nochmal, eine andere Möglichkeit gibt es NICHT!

Gruß
Sunny

Ozzelot · 14.10.2006, 16:33

Ok trotzdem vielen dank für deine schnell Hilfe, werd ich das System mal neu installieren und hoffen das ich dann wieder befreit von diesem Scheiss bin.

**Sunny** · 14.10.2006, 16:38

Zitat:

Zitat von Ozzelot

Ok trotzdem vielen dank für deine schnell Hilfe, werd ich das System mal neu installieren und hoffen das ich dann wieder befreit von diesem Scheiss bin.

Was an dem Schädlingsbefall wahrscheinlich auch mmit Schuld dran hat, ist das hier:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Es fehlen das Service Pack 2 sowie alle nachfolgenden Uodates!
Um das System noch sicherer zu machen solltest du dir das mal durchlesen:

weitere Absicherung

Lies dir den Punkt "Nach dem Neuaufsetzen und VOR der ersten Internet Verbindung solltest du folgende Punkte abarbeiten"

Wenn du alles so eingerichtet hast, wird es mit einer Infektion nicht mehr so schnell gehen

Gruß
Sunny

Ozzelot · 14.10.2006, 22:05

So hab nun formatiert und alles neu installiert und hier nochmal mein jetztiger HijackThis Log sieht auf jedenfall schonmal wesentlich leerer aus.

Logfile of HijackThis v1.99.1
Scan saved at 23:03:15, on 14.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Ventrilo\Ventrilo.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Ozzelot©\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FAF3B7A-3335-4597-879C-E03186697C68}: NameServer = 217.237.151.225 217.237.150.205
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

**Sunny** · 14.10.2006, 22:08

Wunderbar, es gibt auch noch "lernwillige" Hilfesuchende hier im Board

Du hast das umgesetzt was man dir empfohlen hat, das Service Pack 2 installiert sowie die nachfolgenden Updates.

Dann wünsch ich dir jetzt noch viel Spass beim surfen... :aplaus:

Gruß
Sunny

Ozzelot · 14.10.2006, 22:50

Ja dir auch nochmal Danke für die schnelle und gute Hilfe.

Gruß
Ozzelot

Virenscanner erkennt adv.exe und services.exe im Temp Ordner

Log-Analyse und Auswertung: Virenscanner erkennt adv.exe und services.exe im Temp Ordner