hallo leute

icch hab ein ziemliches problem:
ich hab zwei services.exe prozesse am laufen!?! einer davon ist der normale windows prozess, der in windows/system32 beheimatet ist.
der andere services.exe prozess ist in c:\windows abgelegt und ist warscheinlich böse.
beide prozesse laufen dem taskmanager zufolge, allerdings kann ich den 'bösen' services.exe prozess nicht beenden, versuche ich dies wird angezeigt: der taskmanager konnte diesen kritischen prozess nicht beenden.
von den üblichen antivir programmen wird nichts gefunden (norton av, adaware, spybot s&d + andere), hijackthis zeigt ebenfalls nichts an was dieses betrifft.

wenn ich versuche, die datei in c:\windows zu löschen funzt das auch nicht, warscheinlich weil der prozess nicht zu beenden ist.

meine daten: winxp home: alle updates installiert (wirklich alle)

bitte um hilfe, neptune

ich mein natürlich dabei zu helfen, den services.exe prozess zu eliminieren..

i need ur help so bad

Prüf die Datei aus dem Windows-Ordner bitte hier:
http://www.kaspersky.com/de/scanforvirus

Ergebnis?

moin,

stelle doch x das log hierrein!

im hijacklog ist kein eintrag auf diesen prozess bezogen, sonst hätte ich den log schon gepostet

online virenscanner von kapersky sagt: Zu überprüfende Datei: services.exe

services.exe - packed with MEW
services.exe Ok

Statistiken:

Bekannte Viren:92897Updated:15-07-2004Größe der Datei (Kb):12Viren-Korpus:0Datei:2Warnungen:0Archive:0Verdächtigt:0

Nee, die Datei ist trotzdem nicht ok. Sende sie mal bitte via Mail an die in meiner Signatur genannten Adressen. Danke!

ja ich weiss, dass die nicht okay ist. sie hatte auch versucht als ich im internet war kontakt zu irgendwas aufzunehmen, konnte ich aber mit norton firewall blocken.

wie kann ich den prozess im taskmanager beenden und dann die datei services.exe im windows ordner löschen? BITTE UM HILFE

+ wieso wird der prozess beim windowsstart automatisch aufgerufen, wo kann ich das in der registry einsehen?

neptune

Stell doch bitte dennoch einmal das Log hier herein.

Logfile of HijackThis v1.98.0
Scan saved at 14:15:38, on 15.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\services.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Symantec\LiveUpdate\LUALL.EXE
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Dokumente und Einstellungen\Der Chef\Eigene Dateien\Securitee\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinPatrol PLUS] C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{44F10591-6585-480D-AC64-09B553E94FD6}: NameServer = .................

OK, such mal in der Registry nach:

C:\WINDOWS\services.exe

Wo werden Einträge dazu gefunden? Bitte hier ggf. die genauen Pfade posten!

ja da hab ich welche gefunden aber schon heut morgen alle gelöscht, da waren welche bei:
currentuser/software/microsoft/windows/explorer/comdlg32/opensavemru/ hier beim * und exe unterorner

da war allerdings auch ein muninst.exe drin, den konnte ich allerdings unter c/windows so löschen.

und ein eintrag bei:
currentuser/software/microsoft/windows/currentversion/shellnoroam/muocache

wie gesagt alle schon gelöscht

Zum Beenden das laufenden Prozesses:

1.) Läuft er auch im abgesicherten Modus? Falls nein, sollte die Datei aus dem Windows-Ordner herauszunehmen sein.
2.) Versuche, den Prozess ggf. mit Trojancheck zu beenden (Prozesse und Überwachung) -> http://trojancheck.de
3.) Nochmals die Bitte, die Datei an die in meiner Sig genannten Adressen einzusenden, damit diese bisher unbekannte Malware an die Antiviren-Labs zur Aufnahme in die Signaturen zugesandt werden kann. Danke.

wie stell ich den abgesicherten modus ein? dumme frage aber... ich weiss es nicht