Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!

"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


Plagegeister aller Art und deren Bekämpfung: "service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 2 1 2
Alt 05.09.2010, 20:04   #16
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! - Standard

"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 05.09.2010, 20:16   #17
TrojaPferd10
 
"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! - Standard

"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


Hallo, hier die Logs:
Ach ja: Ich habe Crossloop installiert, ein VNC Programm, damit habe ich mal einem Freund geholfen. Aber gehört der VNC Prozess zu Crossloop?

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-05 16:04:04
Windows 5.1.2600 Service Pack 3
Running: tx309m8l.exe; Driver: C:\TEMP\uxtdapoc.sys


---- System - GMER 1.0.15 ----

SSDT            8A61F270                                                                                                   ZwAlertResumeThread
SSDT            8A61F4A8                                                                                                   ZwAlertThread
SSDT            8A3E1218                                                                                                   ZwAllocateVirtualMemory
SSDT            8A8B73C0                                                                                                   ZwAssignProcessToJobObject
SSDT            89FE3EE8                                                                                                   ZwConnectPort
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                 ZwCreateKey [0xAD6EC210]
SSDT            8A4C6350                                                                                                   ZwCreateMutant
SSDT            8A41FAA0                                                                                                   ZwCreateSymbolicLinkObject
SSDT            8A715AB8                                                                                                   ZwCreateThread
SSDT            8A61D988                                                                                                   ZwDebugActiveProcess
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                 ZwDeleteKey [0xAD6EC490]
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                 ZwDeleteValueKey [0xAD6EC9F0]
SSDT            8A6109A8                                                                                                   ZwDuplicateObject
SSDT            8A4AE630                                                                                                   ZwFreeVirtualMemory
SSDT            8A61EBA8                                                                                                   ZwImpersonateAnonymousToken
SSDT            8A61F0D8                                                                                                   ZwImpersonateThread
SSDT            8A3E2108                                                                                                   ZwLoadDriver
SSDT            8A6AC7B0                                                                                                   ZwMapViewOfSection
SSDT            8A61E410                                                                                                   ZwOpenEvent
SSDT            8A64F9A0                                                                                                   ZwOpenProcess
SSDT            8A60E050                                                                                                   ZwOpenProcessToken
SSDT            8A61DCB8                                                                                                   ZwOpenSection
SSDT            8A611C18                                                                                                   ZwOpenThread
SSDT            8A5FE2E0                                                                                                   ZwProtectVirtualMemory
SSDT            8A61F6E0                                                                                                   ZwResumeThread
SSDT            8A467108                                                                                                   ZwSetContextThread
SSDT            8A597D70                                                                                                   ZwSetInformationProcess
SSDT            8A61DB20                                                                                                   ZwSetSystemInformation
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                 ZwSetValueKey [0xAD6ECC40]
SSDT            8A61DFD0                                                                                                   ZwSuspendProcess
SSDT            8A61F918                                                                                                   ZwSuspendThread
SSDT            \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xA872B620]
SSDT            8A47C1A8                                                                                                   ZwTerminateThread
SSDT            8AA09088                                                                                                   ZwUnmapViewOfSection
SSDT            8A497B10                                                                                                   ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text           TUKERNEL.EXE!ZwYieldExecution + F2                                                                         804E494C 4 Bytes  CALL BFD8478F 
?               SYMDS.SYS                                                                                                  Das System kann die angegebene Datei nicht finden. !
?               SYMEFA.SYS                                                                                                 Das System kann die angegebene Datei nicht finden. !
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                   section is writeable [0xB618A380, 0x566445, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

---- EOF - GMER 1.0.15 ----
--- --- ---

OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 21:11:58 on 05.09.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"CplMCDec.cpl" - "MainConcept AG" - C:\WINDOWS\system32\CplMCDec.cpl
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"ISUSPM.cpl" - "Macrovision Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvCpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvCpl.cpl
"Wacom.cpl" - "Wacom Technology, Corp." - C:\WINDOWS\system32\Wacom.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Adobe Version Cue CS4" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.cpl
"CplMCDec" - "MainConcept AG" - C:\WINDOWS\System32\CplMCDec.cpl
"CplMCDec_x86" - ? - C:\WINDOWS\SysWOW64\CplMCDec.cpl  (File not found)
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"adfs" (adfs) - "Adobe Systems, Inc." - C:\WINDOWS\system32\drivers\adfs.sys
"AEC671X" (AEC671X) - "Acard Technology Corp." - C:\WINDOWS\System32\drivers\AEC671X.SYS
"Ambfilt" (Ambfilt) - ? - C:\WINDOWS\System32\drivers\Ambfilt.sys  (File not found)
"AMD Special Tools Driver" (AmdTools) - "AMD, Inc." - C:\WINDOWS\System32\DRIVERS\AmdTools.sys
"appliandMP" (appliandMP) - ? - C:\WINDOWS\System32\DRIVERS\appliand.sys  (File not found)
"Aspi32" (Aspi32) - "Adaptec" - C:\WINDOWS\System32\drivers\aspi32.sys
"catchme" (catchme) - ? - C:\cofi28440c\catchme.sys  (File not found)
"cdrbsdrv" (cdrbsdrv) - "B.H.A Corporation" - C:\WINDOWS\system32\drivers\cdrbsdrv.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"CoachVid" (CoachVid) - "FotoNation Inc." - C:\WINDOWS\System32\DRIVERS\CoachVid.sys
"cpuz130" (cpuz130) - ? - C:\TEMP\cpuz130\cpuz_x32.sys  (File not found)
"DMX3191" (DMX3191) - "Microsoft Corporation" - C:\WINDOWS\System32\drivers\DMX3191.SYS
"EagleNT" (EagleNT) - ? - C:\WINDOWS\system32\drivers\EagleNT.sys  (File not found)
"epmntdrv" (epmntdrv) - ? - C:\WINDOWS\system32\epmntdrv.sys  (File found, but it contains no detailed information)
"EuGdiDrv" (EuGdiDrv) - ? - C:\WINDOWS\system32\EuGdiDrv.sys  (File found, but it contains no detailed information)
"flash" (flash) - ? - C:\WINDOWS\system32\drivers\flash.sys
"giveio" (giveio) - ? - C:\WINDOWS\System32\giveio.sys  (File found, but it contains no detailed information)
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\WINDOWS\System32\DRIVERS\hamachi.sys
"HTTP" (HTTP) - "Microsoft Corporation" - C:\WINDOWS\System32\Drivers\HTTP.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDfs.sys
"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\system32\drivers\incdrm.sys
"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\DRIVERS\InCDPass.sys
"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys
"ISO DVD/CD-ROM Device Driver" (ISODrive) - "EZB Systems, Inc." - C:\Programme\UltraISO\drivers\ISODrive.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"Low-level Floppy Driver" (fdrawcmd) - "simonowen.com" - C:\WINDOWS\system32\drivers\fdrawcmd.sys
"mbr" (mbr) - ? - C:\TEMP\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"Microsoft UAA-Bustreiber für High Definition Audio" (HDAudBus) - "Windows (R) Server 2003 DDK provider" - C:\WINDOWS\System32\DRIVERS\HDAudBus.sys
"Monfilt" (Monfilt) - ? - C:\WINDOWS\System32\drivers\Monfilt.sys  (File not found)
"NetGroup Packet Filter Driver" (NPF) - "CACE Technologies, Inc." - C:\WINDOWS\System32\drivers\npf.sys
"NVIDIAHWAccess" (NVIDIAHWAccess) - ? - C:\Dokumente und Einstellungen\Computername\Anwendungsdaten\NVIDIA\HWAccess.sys  (File not found)
"NVR0Dev" (NVR0Dev) - "NVidia Corp." - C:\WINDOWS\nvoclock.sys
"PC Digital Camera on USB" (CoachUsb) - "FotoNation Inc." - C:\WINDOWS\System32\DRIVERS\CoachUsb.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Pen Class" (PenClass) - "Wacom Technology Corporation" - C:\WINDOWS\System32\Drivers\PenClass.sys
"PQNTDrv" (PQNTDrv) - ? - C:\WINDOWS\system32\drivers\PQNTDrv.sys  (File found, but it contains no detailed information)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"SASDIFSV" (SASDIFSV) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
"SASKUTIL" (SASKUTIL) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
"Service for Realtek HD Audio (WDM)" (IntcAzAudAddService) - ? - C:\WINDOWS\System32\drivers\RtkHDAud.sys  (File not found)
"speedfan" (speedfan) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\speedfan.sys
"TechniSat DVB-PC TV Star PCI" (SKYNET) - "TechniSat Digital, S.A." - C:\WINDOWS\System32\DRIVERS\SkyNET.SYS
"truecrypt" (truecrypt) - "TrueCrypt Foundation" - C:\WINDOWS\System32\drivers\truecrypt.sys
"UComputernameIS11" (UComputernameIS11) - "UComputername Data Systems Inc." - C:\WINDOWS\System32\drivers\UComputernameIS11.SYS
"VSO Software pcouffin" (pcouffin) - "VSO Software" - C:\WINDOWS\System32\Drivers\pcouffin.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} "SABShellExecuteHook Class" - "SuperAdBlocker.com" - C:\Programme\SUPERAntiSpyware\SASSEH.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{19F500E0-9964-11cf-B63D-08002B317C03} "Desktop Icon Layout" - "Microsoft" - C:\WINDOWS\system32\Layout.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{8903F6C9-25E3-40AC-A98F-E6D35CD0469C} "PSPad" - ? - C:\PROGRA~1\PSPADE~1\PSPADS~1.DLL  (File found, but it contains no detailed information)
{950FF917-7A57-46BC-8017-59D9BF474000} "Shell Extension for CDRW" - "Nero AG" - C:\Programme\Ahead\InCD\incdshx.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{AD392E40-428C-459F-961E-9B147782D099} "UIContextMenu Class" - "EZB Systems, Inc." - C:\Programme\UltraISO\isoshell.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{45670FA8-ED97-4F44-BC93-305082590BFB} "Windows XPS Document Metadata Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL
{44121072-A222-48f2-A58A-6D9AD51EBBE9} "Windows XPS Document Thumbnail Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
EzCddax extension "{37DDAAA7-7B07-4e1e-8C37-B46B63AF2925}" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
DirectAnimation Java Classes "DirectAnimation Java Classes" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\dajava.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab
{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab
{DAF7E6E6-D53A-439A-B28D-12271406B8A9} "RIM AxLoader" - "Research In Motion Limited." - C:\WINDOWS\Downloaded Program Files\axloader.dll / hxxp://mobileapps.blackberry.com/devicesoftware/AxLoader.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / https://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
{1E54D648-B804-468d-BC78-4AFFED8E262F} "System Requirements Lab Class" - "Husdawg, LLC" - C:\WINDOWS\Downloaded Program Files\sysreqlab_nvd.dll / hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{517BDDE4-E3A7-4570-B21E-2B52B6139FC7} "Contribute Toolbar" - "Adobe Systems Incorporated." - E:\CS4\Adobe Contribute CS4\contributeieplugin.dll
{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} "Norton Toolbar" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{074C1DC5-9320-4A9A-947D-C042949C6216} "ContributeBHO Class" - "Adobe Systems Incorporated." - E:\CS4\Adobe Contribute CS4\contributeieplugin.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} "{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}" - ? -   (File not found | COM-object registry key not found)
{6D53EC84-6AAE-4787-AEEE-F4628F01010C} "{6D53EC84-6AAE-4787-AEEE-F4628F01010C}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"EPSON Background Monitor.lnk" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\ESM2\Stms.exe  (Shortcut exists | File exists)
"Server4PC.lnk" - "TechniSat Digital, S.A." - C:\Programme\TechniSat DVB\bin\Server4PC.exe  (Shortcut exists | File exists)
"TabUserW.exe.lnk" - "Wacom Technology, Corp." - C:\WINDOWS\system32\WTablet\TabUserW.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Computername\Startmenü\Programme\Autostart\desktop.ini
"OpenOffice.org 3.1.lnk" - ? - C:\Programme\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
"SpeedFan.lnk" - "Almico Software (www.almico.com)" - C:\Programme\SpeedFan\speedfan.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"ISUSPM" - "Macrovision Corporation" - "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
"NVIDIA nTune" - "NVIDIA" - "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"SUPERAntiSpyware" - "SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"AdobeCS4ServiceManager" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
"Adobe_ID0ENQBO" - "Adobe Systems Incorporated" - C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~2\Server\bin\VERSIO~2.EXE
"DivXUpdate" - ? - "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"DrvIcon" - "artArmin" - C:\Programme\Vista Drive Icon\DrvIcon.exe
"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe
"InCD" - "Nero AG" - C:\Programme\Ahead\InCD\InCD.exe
"JMB36X Configure" - "JMicron Technology Corp." - C:\WINDOWS\System32\JMRaidTool.exe boot
"MutlimediaKbdDriver" - ? - C:\Programme\Multimedia Keyboard Driver\M-KbdDrv.exe
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"WinampAgent" - "Nullsoft, Inc." - C:\Programme\Winamp\winampa.exe

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Adobe Drive CS4 Network" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"EPSON BiD Monitor1" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\EBPMON2.DLL
"EPSON BiD Monitor1(1)" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\EBPMON2.dll
"EPSON BiD Monitor1(2)" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\EBPMON2.dll
"EPSON BiD Monitor1(3)" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\EBPMON2.dll
"EPSON BiD Monitor1(4)" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\EBPMON2.dll
"Lexmark Network Port" - ? - LEXLMPM.DLL  (File not found)
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##" (Bonjour Service) - "Apple Computer, Inc." - C:\Programme\Bonjour\mDNSResponder.exe
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Adobe Version Cue CS4" (Adobe Version Cue CS4) - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"B's Recorder GOLD Library General Service" (bgsvcgen) - "SOURCENEXT" - C:\WINDOWS\system32\bgsvcgen.exe
"CrossLoop Service" (CrossLoopService) - "CrossLoop Inc" - C:\Dokumente und Einstellungen\Computername\Lokale Einstellungen\Anwendungsdaten\CrossLoop\CrossLoopService.exe
"EpsonBidirectionalAgent" (EpsonBidirectionalAgent) - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\ESM2\eEBAgent.exe
"EpsonBidirectionalService" (EpsonBidirectionalService) - ? - C:\Programme\EPSON\ESM2\eEBSVC.exe  (File found, but it contains no detailed information)
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Acresso Software Inc." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"InCD Helper" (InCDsrv) - "Nero AG" - C:\Programme\Ahead\InCD\InCDsrv.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"LogMeIn Hamachi 2.0 Tunneling Engine" (Hamachi2Svc) - "LogMeIn Inc." - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"nTune Service" (nTuneService) - "NVIDIA" - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Remote Packet Capture Protocol v.0 (experimental)" (rpcapd) - "CACE Technologies, Inc." - C:\Programme\WinPcap\rpcapd.exe
"TabletService" (TabletService) - "Wacom Technology, Corp." - C:\WINDOWS\system32\Tablet.exe
"uvnc_service" (uvnc_service) - "UltraVNC" - C:\Dokumente und Einstellungen\Computername\Lokale Einstellungen\Anwendungsdaten\CrossLoop\winvnc.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"!SASWinLogon" - "SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Computer, Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive1 at offset 0x00000000`00007e00
ATA_Read(): DeviceIoControl() ERROR 1
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive1 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...
__________________
Alt 05.09.2010, 20:19   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! - Standard

"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


Einen Gegencheck brauch ich:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
__________________
Alt 05.09.2010, 20:21   #19
TrojaPferd10
 
"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! - Standard

"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000011fd

Kernel Drivers (total 142):
0x804D7000 \WINDOWS\system32\TUKERNEL.EXE
0x80722000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF75A7000 ACPI.sys
0xF7989000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF7596000 pci.sys
0xF75F7000 isapnp.sys
0xF7A4F000 pciide.sys
0xF7707000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF798B000 viaide.sys
0xF7607000 MountMgr.sys
0xF74D7000 ftdisk.sys
0xF770F000 PartMgr.sys
0xF7617000 VolSnap.sys
0xF74BF000 atapi.sys
0xF7627000 aic78xx.sys
0xF74A7000 \WINDOWS\System32\DRIVERS\SCSIPORT.SYS
0xF7717000 sym_u3.sys
0xF7637000 jraid.sys
0xF7647000 disk.sys
0xF7657000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF7487000 fltmgr.sys
0xF7475000 sr.sys
0xF7667000 PxHelp20.sys
0xF7870000 KSecDD.sys
0xF7B52000 Ntfs.sys
0xF7843000 NDIS.sys
0xF7677000 Combo-Fix.sys
0xF798D000 speedfan.sys
0xF798F000 PenClass.sys
0xF7829000 Mup.sys
0xF7991000 JGOGO.sys
0xF7A50000 giveio.sys
0xB80FC000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xB67C9000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB67B5000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB67A1000 \SystemRoot\System32\DRIVERS\Rtenicxp.sys
0xB6723000 \SystemRoot\system32\DRIVERS\SkyNET.SYS
0xB80EC000 \SystemRoot\System32\DRIVERS\imapi.sys
0xF7767000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS
0xB80DC000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xB80CC000 \SystemRoot\System32\DRIVERS\redbook.sys
0xB6700000 \SystemRoot\System32\DRIVERS\ks.sys
0xF776F000 \SystemRoot\System32\DRIVERS\InCDPass.sys
0xF7777000 \SystemRoot\System32\Drivers\incdrm.SYS
0xF777F000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xB66DC000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF7787000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xF778F000 \SystemRoot\System32\DRIVERS\fdc.sys
0xB66C8000 \SystemRoot\System32\DRIVERS\parport.sys
0xF791F000 \SystemRoot\System32\DRIVERS\gameenum.sys
0xF7435000 \SystemRoot\System32\DRIVERS\serial.sys
0xF7923000 \SystemRoot\System32\DRIVERS\serenum.sys
0xB81A2000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF79DB000 \SystemRoot\System32\Drivers\RootMdm.sys
0xF7797000 \SystemRoot\System32\Drivers\Modem.SYS
0xF7425000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF7927000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xB66B1000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF7415000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF7405000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF779F000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xB66A0000 \SystemRoot\System32\DRIVERS\psched.sys
0xF7887000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF77A7000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF77AF000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF77B7000 \SystemRoot\system32\DRIVERS\hamachi.sys
0xF77BF000 \SystemRoot\system32\DRIVERS\RimSerial.sys
0xF76A7000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF77C7000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF77CF000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF79DD000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB6642000 \SystemRoot\System32\DRIVERS\update.sys
0xF7933000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF76B7000 \SystemRoot\system32\DRIVERS\AmdTools.sys
0xF76C7000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB14AF000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF79A1000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xB0140000 \??\C:\WINDOWS\system32\drivers\fdrawcmd.sys
0xB0138000 \SystemRoot\System32\DRIVERS\flpydisk.sys
0xB14F3000 \SystemRoot\System32\drivers\AEC671X.SYS
0xB063C000 \SystemRoot\System32\drivers\DMX3191.SYS
0xF77FF000 \SystemRoot\System32\drivers\UUsernameIS11.SYS
0xB3441000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB3123000 \SystemRoot\System32\Drivers\Null.SYS
0xB343F000 \SystemRoot\System32\Drivers\Beep.SYS
0xF780F000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xF7817000 \SystemRoot\System32\drivers\vga.sys
0xB343D000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB807E000 \SystemRoot\System32\DRIVERS\usbccgp.sys
0xB343B000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB87DC000 \SystemRoot\System32\Drivers\InCDrec.SYS
0xAC4C1000 \SystemRoot\System32\Drivers\InCDfs.SYS
0xB8066000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB804E000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB87D8000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xAC4AE000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xAC455000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xAC42D000 \SystemRoot\System32\DRIVERS\netbt.sys
0xAC407000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xAC3B8000 \SystemRoot\System32\drivers\afd.sys
0xB53D3000 \SystemRoot\System32\DRIVERS\netbios.sys
0xB53C3000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xAC32C000 \SystemRoot\System32\drivers\truecrypt.sys
0xAA086000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
0xAB1BF000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xB16A4000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xB8056000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
0xAA05B000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xAE0F5000 \SystemRoot\System32\Drivers\PQNTDrv.SYS
0xA9FEB000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xA9FD4000 \??\C:\Programme\UltraISO\drivers\ISODrive.sys
0xB1694000 \SystemRoot\System32\Drivers\Fips.SYS
0xB1674000 \SystemRoot\system32\drivers\usbaudio.sys
0xB1654000 \SystemRoot\system32\drivers\drmk.sys
0xAA754000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xAA74C000 \SystemRoot\System32\DRIVERS\kbdhid.sys
0xB14CF000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xAA474000 \SystemRoot\System32\drivers\Dxapi.sys
0xF77EF000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB4EC0000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xAA0C8000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xA9EAF000 \SystemRoot\system32\drivers\wdmaud.sys
0xB0323000 \SystemRoot\system32\drivers\sysaudio.sys
0xA9974000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xF79A9000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xA97AB000 \SystemRoot\System32\Drivers\adfs.SYS
0xA9E29000 \SystemRoot\System32\drivers\aspi32.sys
0xA981C000 \SystemRoot\system32\drivers\npf.sys
0xA9574000 \SystemRoot\System32\DRIVERS\srv.sys
0xB0178000 \??\C:\TEMP\mbr.sys
0xB1301000 \??\C:\WINDOWS\nvoclock.sys
0xA9201000 \SystemRoot\System32\Drivers\HTTP.sys
0xAA2FD000 \??\C:\cofi28440c\catchme.sys
0xF79E5000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
0xA8F7B000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 57):
0 System Idle Process
4 System
872 C:\WINDOWS\system32\smss.exe
928 csrss.exe
952 C:\WINDOWS\system32\winlogon.exe
996 C:\WINDOWS\system32\services.exe
1008 C:\WINDOWS\system32\lsass.exe
1196 C:\WINDOWS\system32\nvsvc32.exe
1240 C:\WINDOWS\system32\svchost.exe
1308 svchost.exe
1988 C:\WINDOWS\system32\svchost.exe
2008 C:\Programme\Ahead\InCD\InCDsrv.exe
176 svchost.exe
524 svchost.exe
656 C:\WINDOWS\system32\LEXBCES.EXE
704 C:\WINDOWS\system32\spoolsv.exe
712 C:\WINDOWS\system32\LEXPPS.EXE
468 C:\Programme\Vista Drive Icon\DrvIcon.exe
480 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
556 C:\Programme\Ahead\InCD\InCD.exe
624 C:\Programme\FreePDF_XP\fpassist.exe
1456 C:\WINDOWS\system32\LXSUPMON.EXE
1156 C:\WINDOWS\system32\rundll32.exe
1476 C:\Programme\DivX\DivX Update\DivXUpdate.exe
1808 C:\Programme\Winamp\winampa.exe
1896 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
1636 C:\Programme\TechniSat DVB\bin\Server4PC.exe
1776 C:\WINDOWS\system32\WTablet\TabUserW.exe
1876 C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
1928 C:\Programme\OpenOffice.org 3\program\soffice.exe
1916 C:\Programme\SpeedFan\speedfan.exe
232 C:\Programme\OpenOffice.org 3\program\soffice.bin
260 svchost.exe
496 C:\Programme\EPSON\ESM2\eEBSvc.exe
1680 C:\WINDOWS\system32\bgsvcgen.exe
1648 C:\Programme\Bonjour\mDNSResponder.exe
1720 C:\Programme\TechniSat DVB\bin\Server4PC.exe
1532 C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Anwendungsdaten\CrossLoop\CrossLoopService.exe
2224 C:\Programme\EPSON\ESM2\eEBAgent.exe
3252 C:\Programme\LogMeIn Hamachi\hamachi-2.exe
3412 C:\Programme\Java\jre6\bin\jqs.exe
3624 C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
3904 C:\WINDOWS\system32\svchost.exe
4040 C:\WINDOWS\system32\Tablet.exe
3580 C:\WINDOWS\system32\wscntfy.exe
2168 alg.exe
2156 C:\WINDOWS\system32\svchost.exe
3060 C:\WINDOWS\system32\ctfmon.exe
1724 C:\WINDOWS\explorer.exe
2524 C:\Programme\Opera\opera.exe
2548 C:\Dokumente und Einstellungen\Username\Desktop\bootkit_remover.exe
148 C:\WINDOWS\system32\notepad.exe
3596 C:\WINDOWS\system32\notepad.exe
1588 C:\WINDOWS\system32\notepad.exe
4080 C:\Programme\Pidgin\pidgin.exe
2916 C:\Programme\DVBViewer TE2\DVBViewerTE.exe
1860 C:\Dokumente und Einstellungen\Username\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000007`d0485e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive1 at offset 0x0000001d`8ad40200 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\G: --> \\.\PhysicalDrive2 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive1 Model Number: SATA SAMSUNG HD, Rev:
PhysicalDrive0 Model Number: SAMSUNGHD154UI, Rev: 1AG01118
PhysicalDrive2 Model Number: SATA SAMSUNG HD, Rev:

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
1397 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
465 GB \\.\PhysicalDrive2 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

Danke!

Alt 05.09.2010, 20:28   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! - Standard

"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 05.09.2010, 21:01   #21
TrojaPferd10
 
"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! - Standard

"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


Hier der erste Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4542

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.09.2010 22:00:53
mbam-log-2010-09-05 (22-00-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 269862
Laufzeit: 28 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 05.09.2010, 21:15   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! - Standard

"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


Zitat:
Datenbank Version: 4542
Du solltest es doch vorher updaten!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 05.09.2010, 22:06   #23
TrojaPferd10
 
"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! - Standard

"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


Sorry,
hier der neue erste Log:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4552

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.09.2010 23:05:03
mbam-log-2010-09-05 (23-05-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 270172
Laufzeit: 44 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Und der zweite:

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 09/05/2010 bei 11:07 PM

Version der Applikation : 4.42.1000

Version der Kern-Datenbank : 5455
Version der Spur-Datenbank : 3267

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:04:56

Gescannte Speicherelemente : 645
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 7060
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 129621
Erfasste Datei-Elemente : 0

Alt 06.09.2010, 07:28   #24
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! - Standard

"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


Sieht ok aus. Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.09.2010, 10:31   #25
TrojaPferd10
 
"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! - Standard

"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


Nein, keine Funde mehr. Probleme hatte ich noch nie welche, also ich hatte davon cnihts gemerkt.
Vielen Dank erstmal!
Kann ich jetzt mit der Kiste wieder guten Gewissens Oninebanking etc. betreiben?

Grüße

Alt 06.09.2010, 11:22   #26
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! - Standard

"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


Wir sind dann durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.09.2010, 16:06   #27
TrojaPferd10
 
"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! - Standard

"service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


Vielen vielen Dank!
Danke für die Tipps, wede ich gleich machen...


Grüße

Antwort
Seite 2 von 2 1 2

Themen zu "service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!
adobe, bho, bonjour, computer, einstellungen, explorer, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, intrusion prevention, nvidia, object, plug-in, rundll, security, senden, server, software, symantec, system, temp, vista, windows, windows xp


« Defense Center, nach Entfernen lassen sich Programme nicht mehr starten | Antimalware Doctor »


Ähnliche Themen: "service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!


  1. "TR/Dldr.Agent.1169920.4 in c:\windows\temp\db22.exe" & "ADWARE\InstallCore.771128 in c:\Users\Julian\Downloads\openal-2.0.7.0.exe"
    Plagegeister aller Art und deren Bekämpfung - 26.01.2015 (9)
  2. win 7 firefox langsam "keine Rückmeldung" immer wieder Meldung "ein skript auf dieser Seite ist eventuell beschädigt...."
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (11)
  3. "Fehler: Server nicht gefunden" immer noch nach "WAJAM.A.1"-Befall
    Plagegeister aller Art und deren Bekämpfung - 05.11.2014 (15)
  4. SpeedChecker gefunden - gelöscht, taucht aber immer wieder auf
    Plagegeister aller Art und deren Bekämpfung - 16.09.2014 (13)
  5. Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (77)
  6. Windows 7: GoogleChrome Erweiterung "DownSave5.2" taucht nach Löschen immer wieder auf
    Log-Analyse und Auswertung - 10.01.2014 (9)
  7. TR/Boigy.J wird von Antivir in "C:\WINDOWS\Temp\*jedes mal eine andere Datei*\plugin.dll" gefunden
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (9)
  8. Virus in C:\User\NAME\AppData (lässt sich löschen, aber taucht immer wieder auf)
    Plagegeister aller Art und deren Bekämpfung - 07.04.2013 (29)
  9. "JS: pdfka-gen [Expl]" in "C:\Users\***\AppData\Local\Temp\plugtmp-44\plugin-dare.php"
    Log-Analyse und Auswertung - 19.03.2013 (13)
  10. Malwarebytes findet "Trojan.Agent" - dieser ist aber nach löschen jedesmal wieder da
    Plagegeister aller Art und deren Bekämpfung - 01.01.2013 (14)
  11. Malwarebytes "blockt" immer einer chinesische IP ... Ausgehend .. findet aber nix ..
    Plagegeister aller Art und deren Bekämpfung - 27.10.2012 (10)
  12. Avira zeigt Virus an, dieser taucht aber nach Löschversuch immer wieder auf. Trojaner vermutet.
    Log-Analyse und Auswertung - 18.02.2011 (1)
  13. "0.05870814618642739.exe" ("Win32:Trojan-gen") in "C:\Users\***\AppData\Local\Temp\"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (25)
  14. TR/Crypt.XPACK.Gen3 gelöscht durch Avira, taucht als "ark423.tmp" wieder auf
    Plagegeister aller Art und deren Bekämpfung - 26.09.2010 (7)
  15. TR/Crypt.XPACK.gen wird von AV erkannt, taucht aber immer wieder auf. Hier der Log...
    Log-Analyse und Auswertung - 09.06.2008 (5)
  16. AntiVir findet und löscht "TR/Dldr.Small.ayl.0" -Der Trojaner kommt aber immer wieder
    Log-Analyse und Auswertung - 24.02.2006 (9)
  17. Sytem (hoffentlich) wieder sauber aber Probleme mit der DLL "SHLWAPI.dll"
    Plagegeister aller Art und deren Bekämpfung - 26.07.2005 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema "service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! - Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ - "service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!...
Archiv
Du betrachtest: "service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55