Hallo,
habe seit einiger Zeit Probleme mit einer Services.exe-Datei.
Mein AntiVir erkennt den Fehler und ich kann die Datei löschen. 10-20 Minuten später dasselbe. und so geht das ewig weiter.

Was kann ich tun?

Ach so, manchmal versucht sich auch der RealPlayer von allein ins Internet zu wählen.

Hier mal ein HiJackThis-Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Steinberg\MI4\MI4tray.exe
C:\WINDOWS\System32\rmctrl.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\System32\MSOffice\services.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\eMule0_44b[1]\emule.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\HiJackThis AntivViren Log Programm\HijackThis.exe
C:\Programme\Real\RealPlayer\RealPlay.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:1080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B388} - C:\WINDOWS\System32\CustIE32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MI4Tray] C:\Programme\Steinberg\MI4\MI4tray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\System32\MSOffice\services.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=30579607f432361f4c24553de3a9fe7e27f55e8c7382e8f812488538178c09374cd3d1696277ab341d588a056fa84851d5e1f9fecd5da6e7490e:d3e35fce064c cfbb2d7510b28ebf1261
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1054256c51b2c3fa2d19/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098956210203
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup152.cab

Danke für eventuelle Hilfe!

Marc

@ MarcTale

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\Programme\Steinberg\MI4\MI4tray.exe

teile uns das Ergebnis der Überprüfung mit.

Boote dann in den abgesicherten Modus/ VGA-Modus, (bei Win XP und ME) deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B388} - C:\WINDOWS\System32\CustIE32.dll (file missing)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://public.windupdates.com/get_f...510b28ebf126 1
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52...meInstaller.exe

wenn Du folgende Einträge nicht kennst/brauchst, bitte fixen:
(Häk'chen setzen und auf Fix Checked klicken):

O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - h**p://download.abacast.com/downloa...abasetup152.cab

boote in den normalen Modus.
(Win XP und ME) Aktiviere die Systemwiederherstellung.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt?

Erstelle ein weiteres, bitte komplettes Hijack This Logfile mit der System-Information (erste vier Zeilen) und poste es.

SD

Hallo,
hier das Ergebnis aus der Mwav.log


File C:\WINDOWS\system32\SndMon32.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken
File C:\WINDOWS\system32\SndMon32.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\SndMon32.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\SndMon32.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\SndMon32.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\msxmidi.exe infected by "Trojan-Downloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\2323.exe infected by "Trojan-Downloader.Win32.Delf.eb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\fucksex.exe tagged as not-a-virus:PornWare.Dialer.Salc. No Action Taken.
File C:\WINDOWS\System32\loyn.exe infected by "TrojanClicker.Win32.Agent.v" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\proxy.exe infected by "Trojan.Win32.StartPage.po" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\SndMon32.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\0TCHENG9\2DimensionOfExploitsEnc[1].hta infected by "Trojan-Dropper.VBS.Zerolin" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\0TCHENG9\classload[1].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\27AVITIJ\EXPLOIT[1].CHM infected by "TrojanDownloader.VBS.Psyme.v" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\27AVITIJ\exploit[1].exe infected by "Trojan-Downloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\27AVITIJ\tst3[1].exe infected by "TrojanSpy.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\47NZMKLD\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\6XNGX83E\bridge-c24[1].cab tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\CH4RUHQH\xtrayinst[1].exe infected by "Trojan.Win32.VB.jl" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\OPCZOBS7\classload[1].jar infected by "Trojan.Java.Classloader.v" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\OPCZOBS7\exploit[1].exe infected by "Trojan-Downloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\OPCZOBS7\tst[1].chm infected by "Trojan-Downloader.VBS.Psyme.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\QHOV6PE1\fuck[1].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\QHOV6PE1\todlesif[1] infected by "Trojan-Downloader.VBS.Psyme.q" Virus. Action Taken: No Action Taken.

Und hier der HiJack-Log :


Logfile of HijackThis v1.98.2
Scan saved at 18:25:14, on 23.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\SndMon32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Steinberg\MI4\MI4tray.exe
C:\WINDOWS\System32\rmctrl.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\HiJackThis AntivViren Log Programm\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:1080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MI4Tray] C:\Programme\Steinberg\MI4\MI4tray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1054256c51b2c3fa2d19/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098956210203

Danke schon mal für jede weitere Hilfe!

Marc

Zitat:

Zitat von MarcTale

File C:\WINDOWS\system32\SndMon32.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken

Du solltest Neuinstallieren, Dein Rechner gehört Dir zur Zeit nicht mehr.

Warum:
http://oschad.de/wiki/index.php/Kompromittierung
http://www.mathematik.uni-marburg.de...c-removal.html



Gruß
Yopie

Na, super, das kann ich mir im Moment ja gar nicht leisten.
Hab ein verdammt wichtiges Projekt auf dem Rechner und ausserdem:
Heißt das jetzt wirklich, daß gar keine Dateien meines jetzigen Rechners übernehmen kann?
So ungefähr ist das nämlich in Deinem Link beschrieben...

Sollte ich dann direkt SP2 draufspielen?

Werde dann jetzt halt meinem Zweitrechner für´s Netz benutzen.
Eben mal ein paar Tips, wie ich den halbwegs vernünftig absichern kann?
Sygate Personal hat´s ja wohl nicht gebracht...

Marc

P.S.: Vielen Dank für Deine Hilfe!!

Hier findest du wesentliche grundsätzliche Tips, die mehr wert sind als sogenannte Sicherheitssoftware:

http://www.mathematik.uni-marburg.de...ompromise.html

Theoretisch kann über einen Backdoorschädling nahezu jede Datei deines Rechner manipuliert sein, wobei es doch eher unwahrscheinlich ist, dass jemand sich diese Mühe macht. Welche Dateien würdest du denn retten wollen?
Du solltest mit www.clearprog.de deine temporären Dateien löschen und auch deine Interneteinstellungen bezüglich aktiver Inhalte verändern bzw. nicht mehr den IE sondern einen Alternativbrowser wie opera oder firefox verwenden. Das Beste wäre wie vorgeschlagen eine Neuinstallation anhand der Anleitung und dann auf der Basis des sauberen neuen Systems ein Umsetzen der ausgeführten Grundregeln. Die nicht in den temporären Dateien befindlichen Schädlinge solltest du im abgesicherten Modus löschen.