Unbekannter Dienst Aei2iadafs

Markus_33 · 25.03.2007, 20:50

Hallo zusammen,

unter msconfig habe ich folgenden Dienst gefunden "Aei2iadafs".
Google ergab leider keinen einzigen Treffer !
Unter Eigenschaften sind leider keine Abhängigkeiten zu erkennen.
Da ich mit meinem Latein voll am Ende bin, bedanke ich mich für jeden Ratschlag

cosinus · 25.03.2007, 20:58

Poste doch mal ein Hijackthis-Logfile.

Markus_33 · 25.03.2007, 21:55

Logfile of HijackThis v1.99.0
Scan saved at 22:49:21, on 25.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\mmc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\m1\Desktop\tools neu\sicherheit\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123667818390
O17 - HKLM\System\CCS\Services\Tcpip\..\{22E6BBB8-9C7E-4DF7-A687-8CC72637C244}: NameServer = xxx
O23 - Service: AntiVir PersonalEdition Classic Planer - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Franz1968 · 25.03.2007, 22:07

Hallo,
in deinem Logfile ist außer einer nicht aktuellen Java-Version nicht all zu viel zu sehen. Allerdings hast du eine alte HJT-Version benutzt:

Zitat:

Zitat von Markus_33

Logfile of HijackThis v1.99.0

Bitte besorge dir die Version 1.99.1. Da es Malware gibt, die sich vor HJT verbirgt, benenne die hijackthis.exe um in hjt1991.com, erstelle ein neues Logfile und poste es hier. Bringt auch das nichts, fahren wir die schwereren Geschütze auf.

Ich nehme an, du hast den folgenden Eintrag editiert?

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{22E6BBB8-9C7E-4DF7-A687-8CC72637C244}: NameServer = xxx

Markus_33 · 26.03.2007, 09:48

Hallo Franz,

ersteinmal danke, dass Du dir die Zeit nimmst, mir zu helfen !
so, hier mein neuer log (hijack hatte ich unbenannt, danke für den Tip :-)

Logfile of HijackThis v1.99.1
Scan saved at 10:42:43, on 26.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\m1\Desktop\tools neu\sicherheit\hjt1991.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123667818390
O17 - HKLM\System\CCS\Services\Tcpip\..\{22E6BBB8-9C7E-4DF7-A687-8CC72637C244}: NameServer = xxx
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: dcfssvc (Dcfssvc) - Eastman Kodak Company - C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

die xxx stammen von mir (ich hatte mal gesehen, dass andere dies auch ausgeXXXXt hatten (wenn die Daten aber für die Auswertung wichtig sind, kann ich sie auch gerne posten)

Franz1968 · 26.03.2007, 11:07

Zitat:

Zitat von Markus_33

(wenn die Daten aber für die Auswertung wichtig sind, kann ich sie auch gerne posten)

Ja, tu das bitte zunächst. Möglich, dass da was manipuliert worden ist.
Lässt msconfig sich zu dem unbekannten Dienst eigentlich *irgendwelche* weiteren Informationen entlocken?
Da auch in dem neuen HJT-Log für mich (bisher) kein Hinweis auf einen Befall zu sehen ist: Gibt es aus deiner Sicht *irgendeine* mögliche Erklärung für den unbekannten Dienst?

Markus_33 · 26.03.2007, 11:15

017 - HKLM\System\CCS\Services\Tcpip\..\{22E6BBB8-9C7E-4DF7-A687-8CC72637C244}: NameServer = 217.237.148.70 217.237.149.142

leider stehen bei den Eigenschaften des Dienstes keine weiteren Informationen:
- Pfad zur Exe Datei: leer
- unter 'Anmelden' steht komischerweise nicht 'lokales Konto' sondern 'Diese Konto' angekreuzt
- Abhängigkeiten: leer

der Dienst war übrigens gestartet, habe ihn natürlich jetzt deaktiviert.
Ich stehe vor einem absoluten Rätsel

25.03.2007, 20:58	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Unbekannter Dienst Aei2iadafs Poste doch mal ein Hijackthis-Logfile. __________________ __________________

Unbekannter Dienst Aei2iadafs

Plagegeister aller Art und deren Bekämpfung: Unbekannter Dienst Aei2iadafs