Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Windows error service - wie bekomme ich das weg??

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.10.2004, 12:01   #1
Mister X
 
Windows error service - wie bekomme ich das weg?? - Icon23

Windows error service - wie bekomme ich das weg??



Hallo,
auf meinem PC ging ein kleines Fenster auf mit dem Kontext: "Windows error service" und der Aussage, angeblich Spyware auf dem PC entdeckt zu haben und ich sollte removal-tools herunterladen. Ohne Zutun öffnete sich der IE und wollte Verbindung zu dieser Download-Site suchen.
Nach etwas googlen zu dem Thema bin ich auf folgendes gestoßen:

Mehrere Dateien hatten sich installiert:

C/windows: services.exe
C/windows/system32: bhue.exe + arpa.exe
C/windows/system32/drivers: csrss.exe
" /inetsrv: services.exe
" /wbem : svchost.exe

dazu folgende Registry-Einträge unter:

HKLM /Software/Microsoft/windows/current version/run:

AdRotator.Application, SuperBar.Comonent, {357AA41A....}

Das alles gelöscht und es war Ruhe. Was ich noch fand war etwas wie "soht.exe" in den Anwendungsdaten oder "purityscan.exe", die in C/windows "cleaner.exe" eintrug.

Auf alle Fälle hab ich alles gelöscht, adaware, Spybot, pestpatrol, antivir haben nichts weiter gefunden, hijack log hab ich per website auswerten lassen, auch ok.

ABER: Sobald ich versuche, den editor zu öffnen oder einfach auf eine txt.datei oder log. datei klicke, installieren sich sämtliche oben angeführte Dateien und Registryeinträge erneut! Doppelklick und ich hab den Salat, öffnen mit Wordpad funktioniert.
Das gleiche passierte, als ich den hijack-scan als log speicherte! Logdatei wurde gespeichert und diese Dateien installierten sich.

Ebenso installieren sich die Dateien, wenn ich in den Systemeigenschaften die Startoptionen manuell bearbeiten will.
Also muß irgendwo noch etwas stecken, was ich nicht gefunden habe. Wäre schön, wenn hier jemand Tips dazu hätte.

Was auch noch ist - obwohl ich nicht weiß, ob das irgendwie zusammenhängt - die Desktopicons sehen komisch aus, als ob die Grafikkarte einen Fehler hätte, lt. System ist aber alles i.O
Gruß
M.

Alt 15.10.2004, 13:00   #2
Shadowdance
 
Windows error service - wie bekomme ich das weg?? - Standard

Windows error service - wie bekomme ich das weg??



Hallo Mister X,

da wir bedauerlicherweise aus der Ferne nicht in Dein System schauen können, bleibt uns nur die Möglichkeit, Dich zu bitten ein Hijack This Logfile zu erstellen und zu posten: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD
__________________


Alt 16.10.2004, 13:25   #3
Mister X
 
Windows error service - wie bekomme ich das weg?? - Standard

Windows error service - wie bekomme ich das weg??



Hallo Shadowdance, danke für die Antwort. Hast du mein Posting vielleicht nicht ganz gelesen? Ich hab doch geschrieben, dass ich den hijack-log online überprüft habe, wurde alles für gut befunden.
Gut, hier der "saubere" log:

Logfile of HijackThis v1.97.7
Scan saved at 17:46:25, on 15.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AntiVir\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
D:\PROGRAMME\AntiVir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
d:\PROGRA~1\Clipinc\Server\ClipInc-Server.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
D:\PROGRAMME\AntiVir\AVGNT.EXE
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Hijack\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\PROGRAMME\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [YAW starten] "d:\programme\yaw 3.5\fast.exe"
O4 - Startup: FRITZ!dsl.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...657.0299189815
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78D} (DoomCln Object) - http://www.microsoft.com/security/controls/DoomCln.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F9A116A-439A-4935-968B-6BBD1B5609FD}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS3\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253


so, beim speichern haben sich wieder diese genannten Dateien und Registryeinträge installiert, DANACH stehen folgende Pfade zusätzlich im log:

O4 - HKLM\..\Run: [SuperBar.Component] C:\WINDOWS\system32\inetsrv\services.exe
O4 - HKLM\..\Run: [AdRotator.Application] C:\WINDOWS\system32\drivers\csrss.exe
O4 - HKLM\..\Run: [{357AA41A-B7A8-4632-A27D-5B980B25CF43}] C:\WINDOWS\system32\wbem\svchost.exe
O15 - Trusted Zone: http://*.flingstone.com
O15 - Trusted Zone: http://*.mt-download.com
O15 - Trusted Zone: http://*.xxxtoolbar.com

die sind natürlich "böse" und entfernt (s. erstes Posting!!). Nochmals: Sobald ich dann eine log- oder txt-Datei mit dem Editor bzw. Notepad öffnen will oder die Starteinstellungen in der Systemsteuerung ändern usw. installieren sich die Dateien und Einträge erneut!!

Irgendetwas muß also noch da sein, dass diese Sache steuert. Wäre toll, wenn da einer eine Lösung wüßte...
Grúß
Mister X
__________________

Alt 16.10.2004, 14:13   #4
Shadowdance
 
Windows error service - wie bekomme ich das weg?? - Standard

Windows error service - wie bekomme ich das weg??



Hallo Mister X,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Logfile of HijackThis v1.97.7 ist eine veraltete Version. Die neue Version von Hijack This bekommst Du hier: http://www.trojaner-board.de/51130-a...ijackthis.html.

Hast Du die Einträge, die Du fixen bzw. löschen wolltest, im abgesicherten Modus, bei deaktivierter Systemwiederherstellung versucht zu löschen?

Erstelle bitte ein Hijack This Logfile mit der aktuellen Version von Hijack This.

SD

Alt 17.10.2004, 14:36   #5
Mister X
 
Windows error service - wie bekomme ich das weg?? - Standard

Windows error service - wie bekomme ich das weg??



Hallo Shadowdance,

SP2 für XP hab ich bewußt noch nicht aufgespielt, ich wollte erst ein sauberes System haben. Trotz der jetzt schon bekannten bugs mag das künftig die Sicherheit verbessern, für mein aktuelles Problem wird es mir aber nichts helfen.

Sorry für die veraltete hijack-logdatei. Natürlich habe ich die aktuelle Version, nur die falsche reinkopiert. Unten die neueste "saubere" logdatei, die aber genau das gleiche anzeigt wie die alte.

Ich habe folgendes gemacht: Systemwiederherstellung deaktiviert, im abgesicherten Modus antivir und adaware durchlaufen lassen sowie die vorher geposteten Einträge per hijack gefixt. PC ausgeschaltet, wieder im abgesicherten Modus gestartet, nochmal das gleiche, es wurde nichts mehr gefunden, die folgende logdatei wurde gescannt - auch sauber:

Logfile of HijackThis v1.98.2
Scan saved at 15:15:58, on 17.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Hijack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKCU\..\Run: [YAW starten] "d:\programme\yaw 3.5\fast.exe"
O4 - Startup: FRITZ!dsl.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F9A116A-439A-4935-968B-6BBD1B5609FD}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS3\Services\Tcpip\..\{0C26AB62-2BEF-4ABD-9F08-3C45849B1B8B}: NameServer = 192.168.122.252,192.168.122.253

ABER: als ich im abgesicherten Modus die logdatei speicherte das gleiche Spiel wie schon immer: Sämtliche Dateien und Registryeinträge wie vorher aufgeführt haben sich wieder installiert, der hijack-scan DANACH hatte WIEDER die im letzten Posting aufgeführten Einträge gefunden.
Das fixen im abgesicherten Modus bei deaktivierter Systemwiederherstellung führte also leider zum gleichen Ergebnis

Wo kann da etwas stecken, dass das immer wieder aktiviert? Wie gesagt, txt- oder log-Datei öffnen mit Editor bzw. Notepad führt zu diesem Ergebnis...
Gruß
Mister X


Alt 17.10.2004, 21:29   #6
Shadowdance
 
Windows error service - wie bekomme ich das weg?? - Standard

Windows error service - wie bekomme ich das weg??



@ Mister X

Dein Logfile sieht in der Tat sauber aus, aber das muss nichts heissen. Mach bitte den eScan, entsprechend der detaillierten Anleitung im Link. Der aktuelle eScan entfernt keine Malware, das wird von Hand gemacht. Wir möchten wissen, welche Viren auf Deinem System gefunden werden. Das kannst Du uns folgendermaßen mitteilen: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

Alt 18.10.2004, 14:14   #7
Mister X
 
Windows error service - wie bekomme ich das weg?? - Standard

Windows error service - wie bekomme ich das weg??



Hi Shadow,
ich denke, die Sache hat sich erledigt. Da irgendwie ja notepad beteiligt schien hab ich mal nach allen Dateien auf dem Rechner mit dem Namen gesucht und hab zwei "notepad" in /system gefunden, online gecheckt mit http://www.kaspersky.com/de/scanforvirus und schon hatte ich die Lösung:

notepad.exe Infiziert: TrojanDropper.Win32.Mudrop.h

Gelöscht und System überprüft, alles sauber.
Die Frage ist nur, warum antivir den nicht gefunden hat...

Grade als ich mir das überlegt hatte bekam ich den gleichen Tip noch aus nem anderen Forum, zwei Leut, ein Gedanke.

Falls du noch Anmerkungen hast nur zu.
Gruß
M.

Antwort

Themen zu Windows error service - wie bekomme ich das weg??
adaware, alles gelöscht, antivir, auswerten, dateien, error, fehler, folge, gelöscht, google, grafikkarte, hijack, hijack log, hängt, klicke, log, logdatei, meinem, nicht gefunden, nichts, service, speicher, spybot, spyware, suche, träge, verbindung, windows, öffnen




Ähnliche Themen: Windows error service - wie bekomme ich das weg??


  1. Mail Delivery Service seit mehr als 1 Monat wie bekomme ich das Problem aus der Welt
    Log-Analyse und Auswertung - 02.06.2014 (9)
  2. Vista Service Pack 1 Error 0x800B0100
    Alles rund um Windows - 26.12.2012 (10)
  3. Malware-gen in C:\Windows\System32\services.exe Windows 7 Service Pack 1 x86 NTFS
    Log-Analyse und Auswertung - 11.11.2012 (13)
  4. w32/patched.ub in c:\windows\system32\service.exe und BDS/ZAccess.V in c:\windows\installer.....
    Plagegeister aller Art und deren Bekämpfung - 29.09.2012 (4)
  5. Service Pack 1 zu Windows 7 und Windows Server 2008 R2 veröffentlicht
    Nachrichten - 25.02.2011 (0)
  6. SP1-Download: Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1
    Nachrichten - 25.02.2011 (0)
  7. Service Pack 1 für Windows 7 und Windows Server 2008 R2 ist fertig
    Nachrichten - 25.02.2011 (0)
  8. Support für Windows 2000 sowie das Service Pack 2 für Windows XP beendet
    Nachrichten - 13.07.2010 (0)
  9. Problem antivir error,fraps error und grafik fehler
    Log-Analyse und Auswertung - 01.07.2010 (1)
  10. Letzter Support-Monat für Windows 2000 sowie das Service Pack 2 für Windows XP
    Nachrichten - 13.06.2010 (0)
  11. Support-Zeiträume für Windows 2000 und für das Service Pack 2 für Windows XP laufen a
    Nachrichten - 12.01.2010 (0)
  12. Windows Service.exe
    Alles rund um Windows - 03.02.2007 (6)
  13. Critical System Error. Bekomme ihn nicht weg
    Log-Analyse und Auswertung - 15.01.2007 (37)
  14. Trojaner entfernt, nun "Error: loader coudn`t initialize service!"
    Plagegeister aller Art und deren Bekämpfung - 22.10.2005 (1)
  15. Windows XP service pack 2
    Plagegeister aller Art und deren Bekämpfung - 01.02.2005 (5)
  16. bekomme service nicht gefixt :-(
    Log-Analyse und Auswertung - 22.12.2004 (1)
  17. Windows XP Service Pack 2
    Antiviren-, Firewall- und andere Schutzprogramme - 24.07.2004 (6)

Zum Thema Windows error service - wie bekomme ich das weg?? - Hallo, auf meinem PC ging ein kleines Fenster auf mit dem Kontext: "Windows error service" und der Aussage, angeblich Spyware auf dem PC entdeckt zu haben und ich sollte removal-tools - Windows error service - wie bekomme ich das weg??...
Archiv
Du betrachtest: Windows error service - wie bekomme ich das weg?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.