Serv-U und seine Folgen. (services.exe)

TB2

Hi,

ich hab mir gestern zu meiner grossen Verwunderung einen Virus eingefangen. Der war in einer self-extract .exe von einem in Teile aufgsplitteten RAR Archiv drin, das ich *räusper aus dem Internet runtergeladen hatte. *räusper.

Jedenfalls meldete Kaspersky einen ServU-Verwandten Virus, und ich konnte "disinfect". Gleich darauf erschien noch eine Warnung, und da konnt ich nur noch "skip". In der Liste der "Threats" ist auch jetzt noch die File
"C:\Docs'n'Settings\Admin\Local_Settings\Temp\services"
Allerdings habe ich die bereits manuell gelöscht. Wenn ich "neutralize" versuche, stürzt KAV ab, das war auch so, bevor ich die File manuell gelöscht hatte. Des weiteren habe ich selbst in C:\Windows\syswow64\drivers eine serv-u.ini file gefunden, die receht amüsanten Inhalt hat, denn anscheinend ist der Virus eine gehackte Version des nützlichen Serv-U Programms von "Cat soft" oder so was in der Art. Jedenfalls habe ich alle überbleibsel gelöscht, die mir suspekt schienen, zum Beispiel den Ordner:
"C:\Windows\syswow64\drivers" (Denn da drinn war nichts anderes als 2 Dateien Viruskram, und ich glaube den Ordner gibts in Windows eh nicht, also den \drivers Teil, nicht den davor, es ist Win XP x64)

Jedenfalls kommt bei mir jetzt bei jedem Booten eine Meldung:

"Could not find C:\Windows\system32\drivers\services.exe"

Was wohl zimelicher Unsinn ist, weil es in dem Ordner diese Datei gar nicht braucht. Nun hab ich ihm Log eine Zeile gefunden, die hab ich rot markiert, die wollte ich weg haben, aber wenn ich neu starte kommt sie wieder. Die Meldung erscheint im übrigen nicht im Eventlog und ansonsten scheint mein PC keinem weiteren Übel ausgesetzt zu sein, ausser dieser Fehlermeldung. Aber ich krieg sie nicht weg. Hab auch die registry nach dem pfad durchforstet, dort ist sie wie bei HijackThis unter RUN, aber wenn ich die (beiden) schlüsses lösche, kommen sie wieder beim nächsten systemstart (es ist noch eine mit dem gleichen pfad und LSASS.exe, was wohl auch ein virus-scherz ist, aber da gibts keine Fehlermeldung). Und im Eventlog hab ich 2x den Fehler:

"The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID
{555F3418-D99E-4E51-800A-6E89CFD8B1D7}
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19). This security permission can be modified using the Component Services administrative tool."

unter dem Source DCOM. Wenn ich in der registry diese CLSID nachschaue taucht sie wiederholt als "HWDeviceCustomProperties" und die AppID führt mich zu wiederholtem "LocalService" "ShellHWDetection". Das könnte aber auch gar keinen zusammenhang mit dem Rest haben u.U.

Weiss jemand wie ich die Meldung weg krieg? Btw handelt es sich wohl kaum um die echte services.exe... nur so...


Thx!


edit: Btw auch im abgesicherten modus stürzt KAV beim neutralize ab.

___________________________


Logfile of HijackThis v1.99.1
Scan saved at 23:23:36, on 10.08.2007
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)

Running processes:
C:\Program Files (x86)\Common Files\Realtime Soft\RTSHookInterop\x32\RTSHookInterop.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\SysWOW64\ctfmon.exe
C:\Program Files (x86)\Proxomitron\Proxomitron.exe
C:\Program Files (x86)\FreePDF_XP\fpassist.exe
C:\Program Files (x86)\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files (x86)\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files (x86)\Opera\Opera.exe
C:\Program Files (x86)\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.203\HijackThis.exe

F2 - REG:system.ini: UserInit=userinit
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\SysWOW64\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [kav] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [Windows smss] C:\WINDOWS\SysWow64\drivers\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\smss.exe -b C:\WINDOWS\SYSTEM32\DRIVERS\etc\conf.dll
O4 - HKLM\..\Run: [Windows Services Loader] C:\WINDOWS\SysWow64\DRIVERS\services.exe
O4 - HKLM\..\Run: [FreePDF Assistant] "C:\Program Files (x86)\FreePDF_XP\fpassist.exe"
O4 - HKLM\..\RunOnce: [Clean up] C:\WINDOWS\SysWow64\dllcache\lsass.exe C:\WINDOWS\system32\dllcache\cleanup.bat
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files (x86)\OpenOffice.org 2.2\program\quickstart.exe
O4 - Startup: Proxomitron.lnk = C:\Program Files (x86)\Proxomitron\Proxomitron.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - *ttp://update ( edit: ) m$.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186264953066
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O20 - Winlogon Notify: EFS - C:\WINDOWS\SYSTEM32\sclgntfy.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\SysWOW64\klogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing)
O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc64.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)