| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Dienste nicht mehr im System32, zufälliges Beenden versch. DiensteWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.08.2010, 01:43
| #1 |
 |  Dienste nicht mehr im System32, zufälliges Beenden versch. Dienste Hallo  Ich habe folgende(s) Problem(e) mit meinem Rechner: Bevor ich den Rechner, mehr oder minder aus Verzweiflung, formatiert habe, ist mir jegliche 3D-Anwendung nach ca. 3-5 Minuten abgestürzt, da betreffende Anwendung eine Datei nicht korrekt laden konnte. Hab dann neu gestartet und es ging wieder, jedoch sind mir nach und nach die Audio-, Sicherheits- (Microsoft Security Essentials, Windows-Firewall) und Grafikdienste(Windows Aero etc.) abgestürzt und konnten nicht neu gestartet werden. Daraufhin ließ ich HijackThis durchlaufen und auswerten (Alte Logfile hab ich leider schon wegformatiert, da hinterher gar nichts mehr ging), wo mir dann gesagt wurde, dass einige Windows-eigene Dienste nicht von dem Ort ausgeführt werden, von dem sie eigentlich ausgeführt werden müssten. Ich hab dann die entsprechenden Einträge im HJT markiert, "Fix Checked" gedrückt, neu gescannt, und siehe da, kein Unterschied. Alles genauso wie vorher. Also, letzte Möglichkeit: Notbremse Formatieren. Gut, bis ins Partitionsmenü der Windows 7 Professional 64-Bit Installation ging alles gut, dann konnte ich aber C: nicht formatieren, entsprechende Schaltfläche war "abgegraut". Hab dann mit einer Win-XP CD gebootet, Partitionen gelöscht, neu eingeteilt, kurz Windows XP draufgeknallt, und direkt nach erstem Start ComboFix durchlaufen lassen, kein Ergebnis. HJT hat mir auch nichts gemeldet. Gut, dacht ich mir, dann wieder mit der Win 7 CD gebootet, installiert, gestartet, und gleich wieder HijackThis durchlaufen lassen, und ping, die "verschobenen" Dienste sind wieder (immer noch) präsent. HJT-Logfile von aktuellem Scan: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 02:26:34, on 26.08.2010 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Windows\SysWOW64\NOTEPAD.EXE C:\Users\KoOkY666\Downloads\HiJackThis204.exe C:\Windows\SysWOW64\DllHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 5335 bytes Alles, was mit @%SystemRoot% beginnt, is nicht da, wo es eigentlich sein sollte. Ich weiß einfach nicht mehr weiter, bin erst von ner Bagle-Variante ausgegangen, mit infiziertem MBR und allem was dazugehört, aber keins der Security Programme (Sophos Anti-Virus 30-Tage Trial, Avira, F-Secure Online Scan, RootkitBuster, FxBagle, Stinger(Kaspersky-Programm), RootRepeal und so'n Ding von Symantec, stand bei heise.de als Entfern-Tool für Bagle.AX) hat irgendwas gefunden. Eure "Load.exe" hab ich auch durchlaufen lassen, kein Ergebnis. GMER(sowohl gmer.exe als auch eine Random-Name-Version)wird irgendwie nicht richtig ausgeführt, da kommt beim Start ein dieses Fenster:  Und beim Scannen kommt dieses Fenster:  Am Schluss sagt er mir, dass nichts gefunden wurde. F-Secure Blacklight zum Entfernen von Rootkits kann ich garnicht ausführen, nur die AGB akzeptieren. Abgesicherten Modus komm ich auch nicht rein, wenn ich beim Start F8 drücke, um in diese Liste reinzukommen zum Auswählen der verschiedenen Modi etc. Und, was ich sehr Merkwürdig finde, meine Logitech G5 bekommt irgendwie keinen Strom mehr, warum auch immer  Ich bin echt am Verzweifeln, hat plötzlich heute Morgen angefangen der Mist. Gestern lief alles noch wunderbar, heute ping geht gar nichts mehr. Ich hoffe, ich habe mein Problem gut genug beschrieben Danke im Vorraus für jegliche Unterstützung, Kooky2410 P.S.: Mein System: Win 7 Professional 64-Bit Gigabyte 890GPA-UD3H 4GB G-Skill Ripjaws DD3-1333 Western Digital Black Caviar 640GB |
| Themen zu Dienste nicht mehr im System32, zufälliges Beenden versch. Dienste |
| 64-bit, antivir, antivir guard, auswerten, avg, avira, bagle, bho, combofix, desktop, dienste, entfernen, explorer, helper, hijack, hijackthis, installation, internet, internet explorer, load.exe, logfile, microsoft security, microsoft security essentials, neu, nicht erkannt, ping geht, plug-in, problem, programme, security, software, system, syswow64, trojaner, virus, warum, windows xp, windows-firewall, wmp |
Baum-Darstellung