Problem mit services.exe Countdown

c00lh3xx3r · 25.05.2007, 13:08

Hey.
Ich bin ja schon länger angemeldet, aber da ich immer Lösungen in anderen Threads gefunden habe, hab ich hier nicht gepostet.
Naja ich hab eig kein Problem, aber eine Freundin von mir.
Sie hat ein Problem mit der services.exe
Wenn das kommt, öffnet sich ein Fenster mit nem Countdown und nach einer minute erfolgt der Shoutdown.
Ich hab auch mal bilder dazu
Ich hab ja die Vermuttung auf den Sasser Virus
wegen einer Zeile im Logfile

Code:

ATTFilter

C:\WINDOWS\system32\lsass.exe

aber das ist der doch nicht, oder?
Bild 1
Bild 2

und hier die Logfile

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 14:01:03, on 25.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\tgt86.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Britta\Eigene Dateien\ICQ Lite\284593412\Micha_507225\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\dlksr32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\dlksr32.exe
O4 - HKLM\..\Run: [xxndiag] C:\WINDOWS\tgt86.exe
O4 - HKLM\..\Run: [zxcdiag] C:\WINDOWS\system32\zxcconf.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O15 - Trusted Zone: *.moove.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{176752CD-1341-4D5D-8AEC-148152142CB5}: NameServer = 195.50.140.250 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{176752CD-1341-4D5D-8AEC-148152142CB5}: NameServer = 195.50.140.250 195.50.140.114
O17 - HKLM\System\CS2\Services\Tcpip\..\{176752CD-1341-4D5D-8AEC-148152142CB5}: NameServer = 195.50.140.250 195.50.140.114
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: wtsadpvo.dll confxxn.dll e1.dll  diagisr.dll confzxc.dll zxcstat.dll
O20 - Winlogon Notify: msreh323 - C:\WINDOWS\system32\msreh323.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: zxcmgr - C:\WINDOWS\SYSTEM32\zxcmgr32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

Wäre schon wenn mir, oder besser ihr jemand helfen könnte.

**Sunny** · 25.05.2007, 13:42

Hallo.

Also ich bin mir auch noch nicht sicher ob es sich hierbei um Sasser handelt, Fakt ist nur eins, das System ist ziemlich zugemüllt!

Arbeite mal das hier auf dem betroffenen System ab:

Remove-Sasser:

Hier gibt es das Tool zum Download -> W32.Sasser Removal Tool - Symantec.com

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\dlksr32.exe
C:\WINDOWS\tgt86.exe
C:\WINDOWS\system32\zxcconf.exe
C:\WINDOWS\SYSTEM32\zxcmgr32.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Irgendwie kommt mir das Logfile bekannt vor? Ich glaube sowas in der Art habe ich gestern hier schon einmal gesehen!

Die Infizierung ist schon "hochgradig" ...

c00lh3xx3r · 25.05.2007, 15:09

okay
SasserRemover von Symantec Nix gefunden bei der

Code:

ATTFilter

Complete scanning result of "dlksr32.exe", received in VirusTotal at 05.25.2007, 15:35:40 (CET).
Antivirus	Version	Update	Result
AhnLab-V3	2007.5.24.0	05.25.2007	no virus found
AntiVir	7.4.0.27	05.25.2007	Worm/Stration.BL.3
Authentium	4.93.8	05.23.2007	no virus found
Avast	4.7.997.0	05.24.2007	no virus found
AVG	7.5.0.467	05.25.2007	no virus found
BitDefender	7.2	05.25.2007	Dropped:Win32.Worm.Stration.EM
CAT-QuickHeal	9.00	05.25.2007	no virus found
ClamAV	devel-20070416	05.25.2007	Worm.Stration.AEA
DrWeb	4.33	05.25.2007	Win32.HLLM.Limar
eSafe	7.0.15.0	05.24.2007	suspicious Trojan/Worm
eTrust-Vet	30.7.3663	05.25.2007	Win32/Stration.ZZ
Ewido	4.0	05.25.2007	no virus found
FileAdvisor	1	05.25.2007	no virus found
Fortinet	2.85.0.0	05.25.2007	W32/STRAT.IS!worm
F-Prot	4.3.2.48	05.24.2007	no virus found
F-Secure	6.70.13030.0	05.25.2007	Email-Worm.Win32.Warezov.nn
Ikarus	T3.1.1.8	05.25.2007	DroppedWin32.Worm.Stration.EM
Kaspersky	4.0.2.24	05.25.2007	Email-Worm.Win32.Warezov.nn
McAfee	5038	05.24.2007	no virus found
Microsoft	1.2503	05.24.2007	no virus found
NOD32v2	2292	05.25.2007	no virus found
Norman	5.80.02	05.25.2007	W32/Malware.TKC
Panda	9.0.0.4	05.25.2007	W32/Spamta.XL.worm
Prevx1	V2	05.25.2007	Malicious
Sophos	4.17.0	05.23.2007	no virus found
Sunbelt	2.2.907.0	05.24.2007	Win32.Worm.Stration.EM
Symantec	10	05.25.2007	no virus found
TheHacker	6.1.6.123	05.25.2007	no virus found
VBA32	3.12.0	05.25.2007	MalwareScope.Worm.Warezov.1
VirusBuster	4.3.23:9	05.24.2007	no virus found
Webwasher-Gateway	6.0.1	05.25.2007	Worm.Stration.BL.3

Aditional Information
File size: 122368 bytes
MD5: 3aaf6f49de7c2a7ed54a78b32e4c1697
SHA1: 7df70b15e48bb013303dceb0aaaa757f5fd95e10
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=e83195066101

Code:

ATTFilter

Complete scanning result of "tgt86.exe", received in VirusTotal at 05.25.2007, 15:46:03 (CET).
Antivirus	Version	Update	Result
AhnLab-V3	2007.5.24.0	05.25.2007	Win-Trojan/MulDrop.83990
AntiVir	7.4.0.27	05.25.2007	WORM/Stration.Gen
Authentium	4.93.8	05.23.2007	no virus found
Avast	4.7.997.0	05.25.2007	no virus found
AVG	7.5.0.467	05.25.2007	Generic4.KVP
BitDefender	7.2	05.25.2007	Win32.Stration.DAO
CAT-QuickHeal	9.00	05.25.2007	I-Worm.Warezov.md
ClamAV	devel-20070416	05.25.2007	no virus found
DrWeb	4.33	05.25.2007	Win32.HLLM.Limar
eSafe	7.0.15.0	05.24.2007	Suspicious Trojan/Worm
eTrust-Vet	30.7.3663	05.25.2007	Win32/Stration.AAP
Ewido	4.0	05.25.2007	Downloader.Small
FileAdvisor	1	05.25.2007	No threat detected
Fortinet	2.85.0.0	05.25.2007	W32/Stration.MD@mm
F-Prot	4.3.2.48	05.24.2007	no virus found
F-Secure	6.70.13030.0	05.25.2007	Email-Worm.Win32.Warezov.md
Ikarus	T3.1.1.8	05.25.2007	Email-Worm.Win32.Warezov.at
Kaspersky	4.0.2.24	05.25.2007	Email-Worm.Win32.Warezov.md
McAfee	5038	05.24.2007	New Malware.n
Microsoft	1.2503	05.24.2007	no virus found
NOD32v2	2292	05.25.2007	Win32/Stration.ZH
Norman	5.80.02	05.25.2007	W32/Malware.TJM
Panda	9.0.0.4	05.25.2007	W32/Spamta.XN.worm
Prevx1	V2	05.25.2007	Covert.Sys.Exec
Sophos	4.17.0	05.23.2007	Mal/Packer
Sunbelt	2.2.907.0	05.24.2007	VIPRE.Suspicious
Symantec	10	05.25.2007	W32.Stration@mm
TheHacker	6.1.6.123	05.25.2007	W32/Warezov.md
VBA32	3.12.0	05.25.2007	MalwareScope.Worm.Warezov.1
VirusBuster	4.3.23:9	05.24.2007	
Webwasher-Gateway	6.0.1	05.25.2007	Worm.Stration.Gen

Aditional Information
File size: 83990 bytes
MD5: 9a69fafc2f50ef195631c7a229b21216
SHA1: c2d976928cb44989b0d2293a889a0d354c458795
packers: UPACK
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=9a69fafc2f50ef195631c7a229b21216
packers: UPack
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=f35e95286340
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Code:

ATTFilter

Complete scanning result of "zxcmgr32.dll", received in VirusTotal at 05.25.2007, 15:57:53 (CET).
Antivirus	Version	Update	Result
AhnLab-V3	2007.5.24.0	05.25.2007	Win32/Stration.worm.335872.C
AntiVir	7.4.0.27	05.25.2007	Worm/Stration.BL.3
Authentium	4.93.8	05.23.2007	no virus found
Avast	4.7.997.0	05.25.2007	Win32:Warezov-BCX
AVG	7.5.0.467	05.25.2007	I-Worm/Stration.DGW
BitDefender	7.2	05.25.2007	Win32.Worm.Stration.FO
CAT-QuickHeal	9.00	05.25.2007	no virus found
ClamAV	devel-20070416	05.25.2007	no virus found
DrWeb	4.33	05.25.2007	Win32.HLLM.Limar
eSafe	7.0.15.0	05.24.2007	Win32.Warezov.mg
eTrust-Vet	30.7.3663	05.25.2007	Win32/Stration!generic
Ewido	4.0	05.25.2007	Worm.Warezov.mg
FileAdvisor	1	05.25.2007	no virus found
Fortinet	2.85.0.0	05.25.2007	W32/Stration.MG@mm
F-Prot	4.3.2.48	05.24.2007	no virus found
F-Secure	6.70.13030.0	05.25.2007	Email-Worm.Win32.Warezov.mg
Ikarus	T3.1.1.8	05.25.2007	Email-Worm.Win32.Warezov.mg
Kaspersky	4.0.2.24	05.25.2007	Email-Worm.Win32.Warezov.mg
McAfee	5038	05.24.2007	no virus found
Microsoft	1.2503	05.24.2007	Trojan:Win32/Stration.F!dll
NOD32v2	2292	05.25.2007	no virus found
Norman	5.80.02	05.25.2007	W32/Stration.FJC
Panda	9.0.0.4	05.25.2007	W32/Spamta.QO.worm
Prevx1	V2	05.25.2007	no virus found
Sophos	4.17.0	05.23.2007	W32/Strati-Gen
Sunbelt	2.2.907.0	05.24.2007	no virus found
Symantec	10	05.25.2007	no virus found
TheHacker	6.1.6.123	05.25.2007	W32/Warezov.mg
VBA32	3.12.0	05.25.2007	MalwareScope.Worm.Warezov.1
VirusBuster	4.3.23:9	05.24.2007	no virus found
Webwasher-Gateway	6.0.1	05.25.2007	Worm.Warezov.NV.1

Aditional Information
File size: 335872 bytes
MD5: 27b22b6e63bbd5f0196f3d68c3a905df
SHA1: 0093eae77b53092f368757632090cbecfbf022d5

C:\WINDOWS\system32\zxcconf.exe die hat sie nicht, meint sie.

**Sunny** · 25.05.2007, 15:13

War ja auch nur ein Versuch mit dem Removal-Tool.

So, hier gehts jetzt weiter:

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\dlksr32.exe
C:\WINDOWS\tgt86.exe
C:\WINDOWS\system32\zxcconf.exe
C:\WINDOWS\SYSTEM32\zxcmgr32.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
.
Poste ausserdem den Inhalt der C:\avenger.txt Datei sowie ein neues Hijacklog!!!

und dann geht es immer noch weiter, nicht das du denkst du seiest fertig:

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung*

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Gruß
Sunny

c00lh3xx3r · 25.05.2007, 15:45

die meint bei der passiert nix, wenn die auf Die Ampel klickt
die macht aber alles so wie ich es ihr sage, wie es hier steht....

**Sunny** · 25.05.2007, 15:49

Hat doch in den oberen Beiträgen auch funktioniert! Irgendwas hat sie verbockt! Vielleicht den Text nicht richtig eingegeben???

25.05.2007, 15:49	#6
Sunny Administrator > Competence Manager	Problem mit services.exe Countdown Hat doch in den oberen Beiträgen auch funktioniert! Irgendwas hat sie verbockt! Vielleicht den Text nicht richtig eingegeben??? __________________ --> Problem mit services.exe Countdown

Problem mit services.exe Countdown

Plagegeister aller Art und deren Bekämpfung: Problem mit services.exe Countdown