Hallo zusammen, ich hoffe jemand von euch kann mir helfen.

Ich bekomme seit zwei Tagen immer die Meldung wen ich im Internet bin das mein System runtergefahren wird, weil der Dienst system.exe durch Fehlercode 128 beendet worden ist.

Ich habe schon Spyware Docktor und Trojaner Remover drüber laufen lassen aber die haben nichts gefunden.

Ich hab über Goggle gelesen das vielleicht das HijackThis weiterhelfen kann bei der Fehler suche.

Leider haben ich keine Ahnung wie man dies Auswertet.

Bitte sagt mir doch ob mein System OK ist oder verseucht ist.

Hier das LogFile


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:06:38, on 24.08.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\MultiRes\MultiRes.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\uTorrent\utorrent.exe
C:\Programme\Spybot - Search & Destroy\spy\TeaTimer.exe
C:\WINNT\system32\cidaemon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0.8\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\spy\SDHelper.dll
O2 - BHO: (no name) - {6AE9BAAF-1BEA-4B39-B03B-5C7F05B2FF92} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [MultiRes] C:\Programme\MultiRes\MultiRes.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Philips Intelligent Agent] NOT_IN_USE_DUMMY_PATH
O4 - HKCU\..\Run: [µTorrent] "C:\Programme\uTorrent\utorrent.exe"
O4 - HKCU\..\Run: [uTorrent] "C:\Programme\uTorrent\utorrent.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\spy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [µTorrent] "C:\Programme\uTorrent\uTorrent.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\spy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\spy\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139832366135
O17 - HKLM\System\CCS\Services\Tcpip\..\{74E06898-7CE3-4D99-BC16-0B1B9A0F36FF}: NameServer = 192.168.66.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C98C065F-5260-4209-A794-5CA455A24939}: NameServer = 192.168.65.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 6827 bytes

Danke schon mal im vorraus für die Mühe.

Schönen Gruß
Tornado

Also dein logfile ist sauber und es hört sich für mich auch nicht nach einem malwareartigen problem an! Zu fehlercode 128 kann ich dir noch nichts sagen aber vllt hilft ja google!
Hast du alle patches installiert?

Hallo und

Zitat:

Zitat von Tornado

Ich bekomme seit zwei Tagen immer die Meldung wen ich im Internet bin das mein System runtergefahren wird, weil der Dienst system.exe durch Fehlercode 128 beendet worden ist.

Das klingt stark nach Gewurm Dein System (Windows 2000 SP4) ist da nach meinen Erfahrungen auch viel anfälliger als ein Windows XP SP2 /SP3...

Acker diese Punkte für weitere Analysen ab:

A.) Führe dieses MBR-Tool aus und poste die Ausgabe

B.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

C.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

D.) Mach ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Root bist du sicher?
Ich habe eben im internet das gefunden!

Zitat:

Fehlermeldung "SERVICES.EXE wurde unerwarteterweise mit dem Statuscode 128 beendet" beim Starten von Windows 2000
Produkte anzeigen, auf die sich dieser Artikel bezieht
Artikel-ID : 318447
Last Review : Mittwoch, 9. Februar 2005
Revision : 4.0
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
318447 "SERVICES.EXE Terminated Unexpectedly with Status Code 128" Error Message When You Start Windows 2000

Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Problembeschreibung
Wenn Sie Windows 2000 Server starten und die Meldung "Netzwerkverbindungen werden vorbereitet" erscheint, wird möglicherweise die folgende Fehlermeldung angezeigt:

Das System wird heruntergefahren. Speichern Sie alle Daten, und melden Sie sich ab. Alle Änderungen, die nicht gespeichert werden, gehen verloren. Das Herunterfahren wurde von NT AUTHORITY\SYSTEM ausgelöst.

Der Systemprozess "C:\WINNT\SYSTEM32\SERVICES.EXE" wurde unerwarteterweise mit dem Statuscode 128 beendet. Das System wird heruntergefahren und neu gestartet.
Ursache
Dieses Problem kann auftreten, wenn es in dem folgenden Registrierungsschlüssel fehlerhafte Verweise auf freigegebene Ordner gibt:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Shares
Dieses Problem kann auch dann auftreten, wenn es unter dem folgenden Registrierungsschlüssel einen veralteten Sicherheitswert für Freigaben gibt, die nicht mehr existieren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security
Lösung
Wichtig: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
1. Starten Sie den Computer wie folgt im abgesicherten Modus neu:
a. Starten Sie den Computer neu.
b. Drücken Sie die Taste [F8], wenn die Meldung "Wählen Sie das zu startende Betriebssystem" angezeigt wird.
c. Wählen Sie im Menü Erweiterte Windows-Startoptionen mit den Pfeiltasten die Option Abgesicherter Modus, und drücken Sie dann die [EINGABETASTE].
d. Wenn Sie weitere Betriebssysteme auf dem Computer ausführen, wählen Sie mit den Pfeiltasten aus der angezeigten Liste die Option Microsoft Windows 2000 aus, und drücken Sie dann die [EINGABETASTE].
2. Klicken Sie auf Start und auf Ausführen, geben Sie regedit im Feld Öffnen ein, und drücken Sie anschließend die [EINGABETASTE].
3. Klicken Sie auf folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares
4. Erstellen einer Sicherungskopie des Registrierungsschlüssels:
a. Klicken Sie im Menü Registrierung auf Registrierungsdatei exportieren.
b. Geben Sie in das Feld Dateiname den Namen Shares_RegKey ein, und klicken Sie danach auf Speichern.

Durch diesen Schritt wird der Registrierungsschlüssel "Shares" in der Textdatei "Shares_RegKey" gespeichert, mit deren Hilfe Sie den Registrierungsschlüssel später wiederherstellen können. Die Datei wird standardmäßig im Ordner "Eigene Dateien" gespeichert. Weitere Informationen zum Wiederherstellen des Registrierungsschlüssels finden Sie in der Hilfe des Registrierungseditors. Durchsuchen Sie die Hilfe hierzu nach dem Thema Registrierungsschlüssel importieren.
5. Sehen Sie sich die Liste der Werte im rechten Fensterbereich des Registrierungseditors an.

In der Spalte Daten sind die Pfade zu freigegebenen Ordnern verzeichnet. Dort sehen Sie möglicherweise eine Zeile wie die folgende:
CSCFlags=0 MaxUses=4294967295 Path=E:\NS Permissions=0 Remark= Type=0
Diese Zeile bezieht sich auf den freigegebenen Ordner "E:\NS".
6. Vergewissern Sie sich mithilfe von Windows Explorer, dass für jeden Pfad, der in der Spalte Daten angezeigt wird, ein freigegebener Ordner existiert. Löschen Sie alle Werte, für die kein freigegebener Ordner vorhanden ist.
7. Beenden Sie den Registrierungseditor. Starten Sie anschließend den Computer neu.

Quelle: http://www.supportnet.de/fresh/2005/12/id1208224.asp


Das überprüfen auf ein wurm kann natürlich nicht schaden aber es könnte auch das von oben sein!

Einfach mal bei google "Fehlercode 128" eingeben Alle ergebniss sind von windows 2000 wenns ein wurm wäre müssten da doch noch mehr betriebssystem betroffen sein xp, vista, me, 95, 98 mehr fällt mir nich mehr ein

Hallo Tayk

ich hab jetzt nicht das gesamte Zitat gelesen, aber dort wird von der SERVICES.EXE gesprochen und nicht SYSTEM.EXE; ein Malwarecheck sollte meiner Meinung nach durchgeführt werden.

Root bist du sicher?
Ich habe eben im internet das gefunden!

Zitat:

Fehlermeldung "SERVICES.EXE wurde unerwarteterweise mit dem Statuscode 128 beendet" beim Starten von Windows 2000
Produkte anzeigen, auf die sich dieser Artikel bezieht
Artikel-ID : 318447
Last Review : Mittwoch, 9. Februar 2005
Revision : 4.0
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
318447 "SERVICES.EXE Terminated Unexpectedly with Status Code 128" Error Message When You Start Windows 2000

Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Problembeschreibung
Wenn Sie Windows 2000 Server starten und die Meldung "Netzwerkverbindungen werden vorbereitet" erscheint, wird möglicherweise die folgende Fehlermeldung angezeigt:

Das System wird heruntergefahren. Speichern Sie alle Daten, und melden Sie sich ab. Alle Änderungen, die nicht gespeichert werden, gehen verloren. Das Herunterfahren wurde von NT AUTHORITY\SYSTEM ausgelöst.

Der Systemprozess "C:\WINNT\SYSTEM32\SERVICES.EXE" wurde unerwarteterweise mit dem Statuscode 128 beendet. Das System wird heruntergefahren und neu gestartet.
Ursache
Dieses Problem kann auftreten, wenn es in dem folgenden Registrierungsschlüssel fehlerhafte Verweise auf freigegebene Ordner gibt:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Shares
Dieses Problem kann auch dann auftreten, wenn es unter dem folgenden Registrierungsschlüssel einen veralteten Sicherheitswert für Freigaben gibt, die nicht mehr existieren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security
Lösung
Wichtig: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
1. Starten Sie den Computer wie folgt im abgesicherten Modus neu:
a. Starten Sie den Computer neu.
b. Drücken Sie die Taste [F8], wenn die Meldung "Wählen Sie das zu startende Betriebssystem" angezeigt wird.
c. Wählen Sie im Menü Erweiterte Windows-Startoptionen mit den Pfeiltasten die Option Abgesicherter Modus, und drücken Sie dann die [EINGABETASTE].
d. Wenn Sie weitere Betriebssysteme auf dem Computer ausführen, wählen Sie mit den Pfeiltasten aus der angezeigten Liste die Option Microsoft Windows 2000 aus, und drücken Sie dann die [EINGABETASTE].
2. Klicken Sie auf Start und auf Ausführen, geben Sie regedit im Feld Öffnen ein, und drücken Sie anschließend die [EINGABETASTE].
3. Klicken Sie auf folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares
4. Erstellen einer Sicherungskopie des Registrierungsschlüssels:
a. Klicken Sie im Menü Registrierung auf Registrierungsdatei exportieren.
b. Geben Sie in das Feld Dateiname den Namen Shares_RegKey ein, und klicken Sie danach auf Speichern.

Durch diesen Schritt wird der Registrierungsschlüssel "Shares" in der Textdatei "Shares_RegKey" gespeichert, mit deren Hilfe Sie den Registrierungsschlüssel später wiederherstellen können. Die Datei wird standardmäßig im Ordner "Eigene Dateien" gespeichert. Weitere Informationen zum Wiederherstellen des Registrierungsschlüssels finden Sie in der Hilfe des Registrierungseditors. Durchsuchen Sie die Hilfe hierzu nach dem Thema Registrierungsschlüssel importieren.
5. Sehen Sie sich die Liste der Werte im rechten Fensterbereich des Registrierungseditors an.

In der Spalte Daten sind die Pfade zu freigegebenen Ordnern verzeichnet. Dort sehen Sie möglicherweise eine Zeile wie die folgende:
CSCFlags=0 MaxUses=4294967295 Path=E:\NS Permissions=0 Remark= Type=0
Diese Zeile bezieht sich auf den freigegebenen Ordner "E:\NS".
6. Vergewissern Sie sich mithilfe von Windows Explorer, dass für jeden Pfad, der in der Spalte Daten angezeigt wird, ein freigegebener Ordner existiert. Löschen Sie alle Werte, für die kein freigegebener Ordner vorhanden ist.
7. Beenden Sie den Registrierungseditor. Starten Sie anschließend den Computer neu.

Quelle: http://www.supportnet.de/fresh/2005/12/id1208224.asp


Das überprüfen auf ein wurm kann natürlich nicht schaden aber es könnte auch das von oben sein!




Edit: Wie kam es jetzt zu dem doppel post? Naja Ich gebe dir recht root ich habe noch etwas weiter gegooglet und das hier gefunden! http://www.uni-koeln.de/rrzk/sicherh...ren/zotob.html

Nochmal das Zitat?

Hey Ihr seit ja der Hammer, in nur 10 min. schon drei Antworten.

@ Tayk, den Eintrag habe ich auch schon gefunden und auch schon meine Reg überprüft, unter den Einträgen war keine Fehlende Freigabe Eingetragen aber Danke für deine schnelle Antwort!!!

@root24, dein Anweisung füre ich gerade aus, sobal ich die Ergebnisse habe werde ich Sie Dir hier Posten.

Bis gleich
Tornado

Ist iwi dazwischen gerutscht ka wie ^^

Naja Ich gebe dir recht root ich habe noch etwas weiter gegooglet und das hier gefunden! http://www.uni-koeln.de/rrzk/sicherh...ren/zotob.html

Ich hab ja oben beim ersten zitat geschrieben das ein scann nicht schaden kann!

Zitat:

Zitat von Tayk

Ich hab ja oben beim ersten zitat geschrieben das ein scann nicht schaden kann!

Paßt schon Du
Vo lauter Logfiles und Analysen vergißt man schonmal, daß das Problem nicht unbedingt von Malware verursacht sein muß...

Hallo hier schon mal das erste Log


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Blacklight hat mir kein Log File ausgegeben aber es wurden mir in der zusammenfassung kiene Objekte gefunden.

Malwarebytes läuft gerade.

Tornado

@root 2 lösungsvorschläge einer sollte doch funktionieren

Hallo Root,

hier das gewünschte ComboFix Log File.

Hoffe Du kannst den Fehler Finden.


ComboFix 08-08-24.03 - Administrator 25.08.2008 15:28:42.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.300 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINNT\system32\config\SAM.SAV
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-25 bis 2008-08-25 ))))))))))))))))))))))))))))))
.

2008-08-25 15:28 . 08-08-25 15:28 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_3f8.dat
2008-08-24 22:02 . 08-08-24 22:02 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_170.dat
2008-08-24 21:46 . 08-08-24 21:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-24 21:46 . 08-08-24 21:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-24 21:46 . 08-08-24 21:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-08-24 21:46 . 08-08-17 15:01 38,472 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-08-24 21:46 . 08-08-17 15:01 17,144 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-08-24 21:29 . 08-08-24 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-08-24 21:28 . 08-08-24 21:28 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-08-24 21:28 . 08-08-24 21:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2008-08-24 19:44 . 08-08-25 15:15 1,197,444 ---h----- C:\WINNT\ShellIconCache
2008-08-24 19:11 . 08-08-24 19:11 <DIR> d-------- C:\Programme\Trend Micro
2008-08-24 18:06 . 08-08-24 18:06 <DIR> d-------- C:\Dokumente und Einstellungen\mfl\Anwendungsdaten\Simply Super Software
2008-08-24 18:02 . 08-08-25 15:17 <DIR> d-------- C:\Programme\Trojan Remover
2008-08-24 18:02 . 08-08-24 18:02 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Simply Super Software
2008-08-24 18:02 . 03-02-02 19:06 153,088 --a------ C:\WINNT\system32\UNRAR3.dll
2008-08-24 18:02 . 02-03-06 00:00 75,264 --a------ C:\WINNT\system32\unacev2.dll
2008-08-24 14:21 . 08-08-24 14:21 <DIR> d-------- C:\Programme\Avira
2008-08-24 14:21 . 08-08-24 14:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-23 20:35 . 02-01-28 01:58 32,768 --a------ C:\Temp\shutdown.exe
2008-08-23 18:16 . 08-08-23 18:17 <DIR> d-------- C:\Programme\Spyware Doctor
2008-08-23 18:16 . 08-08-24 21:03 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-23 18:16 . 08-08-23 18:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Tools
2008-08-23 18:16 . 02-05-15 15:16 462,848 --a------ C:\WINNT\system32\msaatext.dll
2008-08-23 18:16 . 02-05-15 15:16 360,448 --a------ C:\WINNT\system32\oleacc.dll
2008-08-23 18:16 . 02-05-15 15:16 360,448 --a--c--- C:\WINNT\system32\dllcache\oleacc.dll
2008-08-23 18:16 . 02-05-15 15:16 356,352 --a------ C:\WINNT\system32\oleaccrc.dll
2008-08-23 18:16 . 02-05-15 15:16 356,352 --a--c--- C:\WINNT\system32\dllcache\oleaccrc.dll
2008-08-23 18:16 . 08-06-10 21:22 81,288 --a------ C:\WINNT\system32\drivers\iksyssec.sys
2008-08-23 18:16 . 08-06-02 15:19 66,952 --a------ C:\WINNT\system32\drivers\iksysflt.sys
2008-08-23 18:16 . 08-06-02 15:19 42,376 --a------ C:\WINNT\system32\drivers\ikfilesec.sys
2008-08-23 18:16 . 08-06-02 15:19 29,576 --a------ C:\WINNT\system32\drivers\kcom.sys
2008-08-23 17:54 . 08-08-23 17:54 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_270.dat
2008-08-13 17:39 . 08-08-13 17:39 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_4dc.dat
2008-08-09 17:51 . 08-08-09 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Samsung
2008-08-09 17:48 . 06-05-03 22:53 174,592 --a------ C:\WINNT\system32\framedyn.dll
2008-08-09 17:47 . 08-08-09 17:48 <DIR> d-------- C:\WINNT\system32\Samsung_USB_Drivers
2008-08-09 17:47 . 05-12-22 12:24 137,884 --a------ C:\WINNT\system32\drivers\sscdmdm.sys
2008-08-09 17:47 . 05-12-22 12:24 80,272 --a------ C:\WINNT\system32\drivers\sscdbus.sys
2008-08-09 17:47 . 05-12-22 12:24 11,877 --a------ C:\WINNT\system32\drivers\sscdcmnt.sys
2008-08-09 17:47 . 05-12-22 12:24 11,877 --a------ C:\WINNT\system32\drivers\sscdcm.sys
2008-08-09 17:47 . 05-12-22 12:24 11,188 --a------ C:\WINNT\system32\drivers\sscdwhnt.sys
2008-08-09 17:47 . 05-12-22 12:24 11,188 --a------ C:\WINNT\system32\drivers\sscdwh.sys
2008-08-09 17:47 . 05-12-22 12:24 10,864 --a------ C:\WINNT\system32\drivers\sscdmdfl.sys
2008-08-09 17:47 . 06-07-24 16:05 5,632 --a------ C:\WINNT\system32\drivers\StarOpen.sys
2008-08-09 17:47 . 05-08-28 20:51 766 --a------ C:\WINNT\system32\Uninstall.ico
2008-08-09 17:46 . 08-08-09 17:46 <DIR> d-------- C:\Programme\Samsung
2008-08-09 16:33 . 08-08-09 16:33 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_414.dat
2008-08-06 21:05 . 08-08-06 21:05 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_26c.dat
2008-08-06 20:50 . 08-08-06 20:50 <DIR> d-------- C:\Programme\Lavasoft
2008-08-06 20:50 . 08-08-06 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-25 13:27 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uTorrent
2008-08-25 13:15 --------- d-----w C:\Dokumente und Einstellungen\mfl\Anwendungsdaten\uTorrent
2008-08-25 10:41 --------- d-----w C:\Dokumente und Einstellungen\mfl\Anwendungsdaten\OpenOffice.org2
2008-08-24 19:28 --------- d---a-w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-24 18:38 --------- d---a-w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-24 14:16 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-24 13:03 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-08-24 12:50 --------- d-----w C:\Programme\uTorrent
2008-08-15 08:58 --------- d---a-w C:\Programme\Mozilla Thunderbird
2008-08-09 15:46 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-09 15:40 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2008-08-06 21:07 --------- d-----w C:\Programme\Security Task Manager
2008-08-06 18:51 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft
2008-07-20 09:43 --------- d-----w C:\Programme\SiSLan
2008-07-03 20:19 --------- d-----w C:\Programme\Mentor
2008-07-03 20:19 --------- d-----w C:\Programme\learn2.com
2008-07-03 20:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Mentor
2006-12-01 12:38 3,958 ----a-w C:\Programme\BatchCutter.jar
2006-02-15 15:52 271 ---ha-w C:\Programme\desktop.ini
2006-02-15 15:52 22,080 ---ha-w C:\Programme\folder.htt
2004-08-02 11:50 713,230 ----a-w C:\Programme\TMPGEnc-0.11.20.98-rel1_Ver12a.zip
2001-05-08 11:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
2007-07-23 20:31 56 --sh--r C:\WINNT\system32\0DE77F6898.sys
2007-07-23 20:31 3,766 --sha-w C:\WINNT\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Philips Intelligent Agent"="NOT_IN_USE_DUMMY_PATH" [X]
"µTorrent"="C:\Programme\uTorrent\utorrent.exe" [08-08-15 11:02 267056]
"uTorrent"="C:\Programme\uTorrent\utorrent.exe" [08-08-15 11:02 267056]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\spy\TeaTimer.exe" [08-08-18 18:41 1832272]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [08-08-19 23:34 1576176]
"internat.exe"="internat.exe" [01-05-08 13:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [04-02-24 17:35 2372760]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [05-05-27 11:24 147456]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [05-12-10 16:57 133016]
"NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [06-01-12 17:40 155648]
"HPDJ Taskbar Utility"="C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe" [01-12-12 02:32 196608]
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [05-08-11 16:30 249856]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [05-08-11 16:30 81920]
"MultiRes"="C:\Programme\MultiRes\MultiRes.exe" [06-01-09 14:56 54784]
"D-Link Air USB Utility"="C:\Programme\D-Link\Air USB Utility\AirCFG.exe" [04-05-25 19:09 1015808]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [04-04-14 12:54 45056]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [08-06-12 14:28 266497]
"TrojanScanner"="C:\Programme\Trojan Remover\Trjscan.exe" [07-03-21 14:52 297040]
"AtiPTA"="atiptaxx.exe" [05-11-23 02:05 344064 C:\WINNT\system32\atiptaxx.exe]
"Logitech Utility"="Logi_MwX.Exe" [03-12-17 09:50 19968 C:\WINNT\LOGI_MWX.EXE]
"Synchronization Manager"="mobsync.exe" [03-06-19 12:05 112400 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"µTorrent"="C:\Programme\uTorrent\uTorrent.exe" [08-08-15 11:02 267056]
"internat.exe"="internat.exe" [01-05-08 13:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 12:05 189712]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [08-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
08-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"vidc.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

R1 atitray;atitray;C:\Programme\Radeon Omega Drivers\v3.8.231\ATI Tray Tools\atitray.sys [06-01-24 20:32 ]
R3 FA31X;NETGEAR FA311/FA312 NDIS 5.0 Miniport Driver;C:\WINNT\system32\DRIVERS\FA31XND5.SYS [01-06-06 10:24 ]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [03-06-19 12:05 ]
R3 solo;TerraTec 128iPCI (WDM);C:\WINNT\system32\drivers\solo.sys [00-07-10 10:15 ]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 13:05 ]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [01-05-08 13:00 ]
S3 MSSQL$KSR;MSSQL$KSR;C:\Programme\Microsoft SQL Server\MSSQL$KSR\Binn\sqlservr.exe [02-12-17 16:55 ]
S3 NDISFILT;NDISFILT;C:\Programme\Atguard\NDISFILT.SYS []
S3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;C:\WINNT\system32\DRIVERS\PRISMUSB.sys [03-10-02 15:47 ]
S3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINNT\system32\drivers\sis7012.sys [03-04-08 13:46 ]
S3 SISNIC2K;SiS PCI Fast Ethernet Adapter Driver for NDIS5;C:\WINNT\system32\DRIVERS\sisnic2k.sys [04-11-05 18:15 ]
S3 SQLAgent$KSR;SQLAgent$KSR;C:\Programme\Microsoft SQL Server\MSSQL$KSR\Binn\sqlagent.EXE [02-12-17 16:23 ]
S3 tap0801;TAP-Win32 Adapter V8;C:\WINNT\system32\DRIVERS\tap0801.sys [04-06-24 03:54 ]

NETSVCS REQUIRES REPAIRS - current entries shown
EventSystem
Ias
Iprip
Irmon
Netman
Nwsapagent
Rasauto
Rasman
Remoteaccess
SENS
Sharedaccess
Tapisrv
Ntmssvc
WZCSVC

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{6AE9BAAF-1BEA-4B39-B03B-5C7F05B2FF92} - (no file)


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9fos9p9v.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 15:32:49
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINNT\system32\winlogon.exe
-> C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10000.dll
-> C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10001.dll
.
Zeit der Fertigstellung: 2008-08-25 15:35:30
ComboFix-quarantined-files.txt 2008-08-25 13:34:26

Pre-Run: 3,467,112,448 Bytes frei
Post-Run: 3,473,993,728 Bytes frei

191

Sry, Dein Posting ist voll untergegagen...

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINNT\system32\drivers\sglfb.sys
C:\Programme\Atguard\NDISFILT.SYS
         

Mach danach bitte ein frisches Hijackthis-Logfile, nimm dazu diese umbenannte hijackthis.exe