|
Plagegeister aller Art und deren Bekämpfung: Unbekannter Dienst "Teriveuhw"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.11.2008, 12:44 | #1 |
| Unbekannter Dienst "Teriveuhw" Erstmal hallo, lese schon lange immer wieder hier (notgedrungen) =) jetzt komme ich aber um eine Frage nicht herum. msconfig zeigt mir einen unbekannten Dienst namens "teriveuhw". autoruns oder andere tools zeigen mir nichts mit dem Namen, auch eine Suche über den gesamten Rechner findet nichts. Nichteinmal Google&co findet irgendwas mit dem Namen - was recht komisch ist, inzwischen findet Google ja zu fast ejder beliebigen Buchstabenkombination irgendetwas. =) Hab dann eben nach "unbekannter Dienst keinen Treffer" gegoogelt und ein Thread hier im Forum gefunden. Nur der Dienst heisst anders. Hat emand eine Idee worum es sich da handelt? Ich kann nachher einen HJT-Log posten, den muss ich nur erstmal entsprechend editieren (und mich vorher schlau machen was ich da editieren soll) - dazu hab ich aber erst später heute Nachmittag Zeit, aber wollte die Frage schonmal loswerden. achja.... das ganze ergab sich durch eine Infektion mit einigen Viren, Trojanern und anderen "Viechern", wobei ich seit Tagen versuche der Sache auf den Grund zu gehen. ...und...ich weiss das hier gerne und schnell (und sinnigerweise) das Neuaufsetzen des Systems empfohlen wird, stehe auch kurz davor. Auch wenn ich es gerne umgehen würde, denn ich habe kein image eines sauberen, mir zugeschneiderten Systems, habe also dann einen riesenaufwand vor mir, bis das System wieder auf dem Stand ist. (Herlferlein, Software, etc...) Auch wenn es wenig Sinn macht, interessiert es mich doch, wie die Chancen stehen ein so verseuchtes System manuell wieder sauber zu bekommen, auch wenn es eventuell mehr Arbeit ist als das Neuaufsetzen - wobei letztendlich sowas erst entschieden werden kann wenn ich ungefähr weiss wie gross der Aufwand ausfällt. Bin kein Experte, aber auch kein Laie, siedelt mich irgendwo dazwischen an- Also dann...jetzt erstmal kochen gehen... ichh schau später wieder rein. Bin gespannt. =) MfG Cream |
28.11.2008, 13:02 | #2 |
/// TB-Ausbilder | Unbekannter Dienst "Teriveuhw" Heya,
__________________erzähl uns bitte noch um welches Betriebssystem es sich handelt. Ist vor dem Eintrag bei msconfig ein Haken zu sehen, oder nicht? Was du editieren musst steht zb in unserer HijackThis Anleitung unter Einsetzen von HJT - Auswertung: 2. Möglichkeit. Außerdem stand es auch in dem großen roten Kasten, während du dein Thema erstellt hast. lg myrtille
__________________ |
28.11.2008, 13:17 | #3 |
| Unbekannter Dienst "Teriveuhw" Ah, ganz vergessen...
__________________XP pro SP2, aber schon eine Weile keine Updates mehr geholt (6 Monate etwa) ...das liegt weniger an Faulheit oder Unwillen, als an einer schrottigen ISDN-Verbindung ohne Flatrate. Vor dem Dienst ist ein Haken und es ist kein Windows-Dienst. Also er wird nicht ausgeblendet wenn ich das anhake. Die Bearbeitung des HJT-Logs... ich hab schon gesehen wo das steht, hatte halt nur noch keine Zeit das durchzugehen. =) Werd ich aber nachher/gleich machen. |
29.11.2008, 15:29 | #4 |
| Unbekannter Dienst "Teriveuhw" So, gestern hab ich es nicht mehr geschafft. hier also nun das HJTlog. (waren weder private angaben noch https zum ersetzen drinn - sieht mir eh ziemlich "kurz" aus das dingens...hab ich eventuell einstellungen bei HJT übersehen?) in der letzten Zeile findet sich "Teriveuhw" in Zusammenhang mit Acronis (True Image ist installiert), aber irgendwie ist die Zeile nciht sehr aussagekräftig. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:14:54, on 29.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Programme\adaware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe E:\Programme\Avira\Avira\AntiVir PersonalEdition Classic\sched.exe E:\Programme\Avira\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\ATKKBService.exe C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE E:\PROGRA~1\escan\eScan\VISTA\avpmapp.exe E:\PROGRA~1\escan\eScan\TRAYSSER.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\MagicTune Premium\MagicTuneEngine.exe E:\Programme\Mamutu\Mamutu\a2service.exe E:\PROGRA~1\escan\eScan\consctl.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE E:\PROGRA~1\escan\eScan\TRAYICOS.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe E:\Programme\NTune\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe E:\Programme\sandboxie\SbieSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Canon\MyPrinter\BJMyPrt.exe E:\Programme\Avira\Avira\AntiVir PersonalEdition Classic\avgnt.exe E:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Microsoft IntelliPoint\dpupdchk.exe E:\Programme\sandboxie\SbieCtrl.exe C:\Programme\MagicTune Premium\GammaTray.exe E:\Programme\Launchy\Launchy\Launchy.exe C:\Programme\SEC\Natural Color Pro\NCProTray.exe C:\Programme\MagicTune Premium\MagicTune.exe C:\WINDOWS\system32\wscntfy.exe E:\Programme\SpeedProject\SpeedCommander 9\SpeedCommander.exe C:\WINDOWS\system32\svchost.exe E:\Programme\Firefox\firefox.exe E:\Programme\sandboxie\SandboxieRpcSs.exe E:\Programme\sandboxie\SandboxieDcomLaunch.exe E:\Programme\Discount Surfer\Discountsurfer\Discountsurfer.exe E:\Programme\HJT\hobobdatt.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - E:\Programme\snagit\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {AA61DE26-FA67-4575-9033-918671094293} - (no file) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\Programme\snagit\SnagItIEAddin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [NVIDIA nTune] "E:\Programme\NTune\nTune\nTuneCmd.exe" clear O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SandboxieControl] "E:\Programme\sandboxie\SbieCtrl.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Stardock ObjectDock.lnk = E:\Programme\ObjectDock\ObjectDock.exe O4 - Global Startup: GammaTray.lnk = ? O4 - Global Startup: Launchy.lnk = E:\Programme\Launchy\Launchy\Launchy.exe O4 - Global Startup: NCProTray.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{76978864-689D-4A5C-960B-AC2B2D31F0F5}: NameServer = 194.25.2.129 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\adaware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - E:\PROGRA~1\escan\eScan\VISTA\avpmapp.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\escan\eScan\TRAYSSER.EXE O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: MagicTuneEngine - Unknown owner - C:\Programme\MagicTune Premium\MagicTuneEngine.exe O23 - Service: Mamutu Service (Mamutu) - Emsi Software GmbH - E:\Programme\Mamutu\Mamutu\a2service.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - E:\Programme\NTune\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - E:\Programme\sandboxie\SbieSvc.exe O23 - Service: Teriveuhw - Acronis - (no file) -- End of file - 9034 bytes Gefunden wurden: + Cutwail Trojan + ShangXing Backdoor + Fujacks-type Worm + Trojan-Downloader.Win32.Agent.aqfw (in .../system32/oajoo.dll) diese (oajoo.dll) Datei kann ich mit Virustotal nicht scannen, da kommt "0 bytes size received" - obwohl die Datei 62kb gross ist. Das passierte mir die letzten Tage mit einigen Dateien die ich aufgrund von verschiedenen Reports scannen wollte. Achja, falls das am HJTlog ersichtlich ist, ich habe mom. mehrere Virenscanner installiert, aber nicht gleichzeitig aktiv. Das auch erst seitdem ich auf der Suche nach dem/n Übeltäter/n bin. Ansonsten läuft auf meinem Rechner eigentlich immer nur Antivir (Avira) (und Spybot+ Ad-Aware). MfG Cream |
29.11.2008, 16:36 | #5 |
| Unbekannter Dienst "Teriveuhw" **edit** (finde keinen Editierknopf, darum ein tripple...) Meine Aussage aus dem ersten Post, das ich das System lieber von Hand säubern will als Neuaufsetzen hat soch wohl erledigt... |
29.11.2008, 16:54 | #6 |
/// TB-Ausbilder | Unbekannter Dienst "Teriveuhw" Hi, editieren geht nur innerhalb der ersten Stunde. Der Eintrag ist in der Tat etwas seltsam. Hast du in letzter Zeit etwas von Acronis installiert/deinstaliert? Acrobat könnte übrigens ein Update vertragen. Installiere bitte mal Malwarebytes und lasse das deinen Rechner scannen, post das Ergebnis dann hier. erstell bitte auch ein Log mit GMER und RootkitRevealer: Das sind einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
lg myrtille
__________________ --> Unbekannter Dienst "Teriveuhw" |
29.11.2008, 21:15 | #7 |
| Unbekannter Dienst "Teriveuhw" Ja, habe Acronis True Image installiert. Aber schon ein Weilchen her. Acrobat...ja, koennte so einiges Updates vertragen. Das ist das doofe mit ISDN. Aber nur noch drei Tage... sollen malwarebytes, gmer und rootkitrevealer im normalen oder abgesicherten Modus laufen? Normal nehme ich an? Hab mir vorhin bei einem Bekannten alle aktuellen Updates und Patches für XP besorgt, einer Neuinstallation steht also nichts mehr im Wege. Werde die Scans aber trotzdem Heute Abend machen. Wird allerdings wieder etwas später fürchte ich. MfG Cream |
01.12.2008, 19:55 | #8 |
| Unbekannter Dienst "Teriveuhw" Moin! So, hab mich jetzt doch entschieden das System neu aufzusetzen. Hab heute den Zweitrechner neu gemacht, und das hat mir ein bisschen den Unmut genommen, so dass ich den anderen auch gleich machen werde. Ist doch viel einfacher und sicherer und vorallem schneller als das ewige Scannen, Auswerten, Säubern, Scannen, Zweifeln, etc.... =) Trotzdem Danke für die angebotene hilfe! Aber eine Frage hab ich dennoch im Kopf. Meine Festplatte (500GB) ist in 3 Partitionen aufgeteilt. c:\ System only D:\ Programme E:\ Data (Wobei inzwischen auf E:\ auch ein paar Programme installiert sind, weil der Platz knapp wurde.) Muss ich jetzt beim System neu aufsetzen ALLE Partitionen plätten? Oder reicht es wenn ich auf E:\ alles was weg kann lösche? - Übrig bleiben würde auf E:\ dann ein Haufen MP3s, ein paar Filme und Images, und eine Menge Projektdaten (Photoshop, PDF, DOC...) Die DOCs + PDFs lösch ich lieber doch, aber was ist mit MP3, PSD, JPG (Bilder allgemein) etc... ? MfG Cream |
01.12.2008, 20:08 | #9 |
/// TB-Ausbilder | Unbekannter Dienst "Teriveuhw" Hi, bedenklich sind in der Regel nur ausführbare Dateien, also Endungen wie exe, com, scr. Wenn du dein Betriebssystem neumachst musst du auch alle Programme neuinstallieren. Das ist klar oder? Dokumente, Bilder, Musik und so sollten nicht betroffen sein. Wenn du jedoch die Partitionsgrößen verändern möchtest, dann solltest du die Dokumente sicherheitshalber nochmal woanders speichern. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
01.12.2008, 20:12 | #10 |
| Unbekannter Dienst "Teriveuhw" Ja, das Programme alle neu installiert werden müssen ist klar. also C und D werden beide formatiert. auf D liegen als ausführbare Dateien nur ein paar installierte Programme und Downloads/Tools. Reicht es also die zu deinstallieren (vorher) und die Downloads zu löschen - also das auf D nur meine Dokumente und Projekte bleiben? Wobei doch zumindest in PDFs inzwischen auch schon eine Menge übles Gefiechs stecken kann oder? (und DOCs erst recht)... Cream |
01.12.2008, 20:20 | #11 |
/// TB-Ausbilder | Unbekannter Dienst "Teriveuhw" Hi, ja theoretisch gibt es Malware, die pdf oder doc oder auch Musikdateien infizieren kann. Aber zum einen sind die Erkennungen der Antivirenscanner in dieser Hinsicht gut und zum anderen braucht es zu dem bösartigen Gesindel im PDF auch immer noch den richtigen PDF-Reader mit der entsprechenden Sicherheitslücke um das Gesindel aus dem PDF rauszulassen. Wenn du also nach dem Neuaufsetzen alle deine Daten scannst (und nichts gefunden wird) und dir dann die aktuellsten Programme installiert kann eigentlich nicht viel passieren. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
01.12.2008, 20:44 | #12 |
| Unbekannter Dienst "Teriveuhw" Ok, dann bin ja einigermassen beruhigt. Hatte schon verzweifelt überlegt was ich mit den ca. 200gb mp3s mache. (kein externes laufwerk...das hätte eine laaange Brennsession gegeben) Und den Acrobat werd ich dann wohl auch mal updaten. =) Cream |
Themen zu Unbekannter Dienst "Teriveuhw" |
anderen, beliebige, dienst, forum, frage, gen, google, handel, heute, hjt-log, image, immer wieder, infektion, namens, nichts, rechner, recht, schnell, software, suche, tools, trojaner, trojanern, unbekannte, unbekannter, viren |