Unter services.msc ist bei mir eine Menge von Services (10) mit kryptischen Namen und ohne Beschreibung, u.a.

GUX.exe
HZNVBEY.exe
EMVW.exe
PNQYG.exe

Diese verweisen allesamt auf

C:\DOCUME~1\admin\LOCALS~1\Temp\

Startup ist bei allen auf "Manual" und im Autostart sind die auch nicht. Habe den Temp Ordner gelöscht, aber die Services selber löschen kann ich nicht, bzw. weiß nicht wie.

Vor einiger Zeit habe ich das hier sehr beliebte Tool eScan verwendet, das überall auf dem System Mülldateien mit komischen Namen abgelegt hat ("um Spyware abzuwehren, die die gleichen Dateinamen nutzt"). Könnte das auch hier der Fall sein?

Hi,

das hättest Du gerne, aber dafür ist der Escan nicht verantwortlich. Hast Du auf deinem System schon den Rootkitrevealer benutzt?

Fertige ein HijackThis Log deines Systems an. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Alle anderen Programme schließen, Hijackthis.exe starten, auf "Scan" klicken und das Log hier posten.

Gruß, Karl

Ja, Rootkit Revealer habe ich mal benutzt, vor ein paar Wochen.

Ich habe jetzt die Einträge mit HijackThis gefixed (waren unter O23 eingetragen) und danach die Services in der Registry entfernt. Sind jetzt unter services.msc nicht mehr zu sehen und der Rest vom Hijack Log sieht imo auch gut aus (so wie vorher).

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE (das sind sound driver)
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8F52481-4628-4A27-ABEF-48E18129C40D}: NameServer = x.x.x.x (IP vom Router)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
         

Habe nochmal den F-Prot Online Scanner (wie man sieht) und AntiVir, beides mit Rootkit Scanner, laufen lassen, haben aber nichts gefunden.

Hijackthis ist ok.

Ist natürlich schwierig, von den Namen und Ordnern her zu schließen, aber es sieht sehr nach Rootkitrevealer aus. Damit der nicht so leicht von Malware erkannt werden kann, legt er den eigentlichen Scanprozess mit einem zufällig gewählten Namen in diesem Ordner ab und trägt ihn als Service (O23) ein. Normalerweise ist vorgesehen, dass er das alles wieder aufräumt am Ende, wenn er aber abstürzt oder nicht richtig beendet wird, bleiben diese Einträge stehen. Das kommt öfter vor.

Zitat:

Zitat von KarlKarl

Hijackthis ist ok.

Ist natürlich schwierig, von den Namen und Ordnern her zu schließen, aber es sieht sehr nach Rootkitrevealer aus. Damit der nicht so leicht von Malware erkannt werden kann, legt er den eigentlichen Scanprozess mit einem zufällig gewählten Namen in diesem Ordner ab und trägt ihn als Service (O23) ein. Normalerweise ist vorgesehen, dass er das alles wieder aufräumt am Ende, wenn er aber abstürzt oder nicht richtig beendet wird, bleiben diese Einträge stehen. Das kommt öfter vor.

Das wäre eine gute Erklärung, denn ich hatte zuerst Probleme, den Rootkit Revealer zum Laufen zu bringen und musste ihn mehrmals mit STRG+ALT+ENTF beenden.
Habe ihn zuerst von einem Nutzeraccount ausgeführt, der keine Admin Rechte hatte, und dann aus dem ZIP Archiv heraus gestartet, was auch nicht geht.

Danke für deine Hilfe!

Damit ist klar, dass solche Einträge zurückbleiben mussten. Rootkitrevealer muss übrigens (wie alle Rootkitscanner) von einem Konto mit Adminrechten aus gestartet werden. Oder Rechtsklick -> Ausführen als...