|
Plagegeister aller Art und deren Bekämpfung: Problem mit Services.exe = Trojaner?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.11.2004, 14:39 | #1 |
| Problem mit Services.exe = Trojaner? Hallo, habe seit einiger Zeit Probleme mit einer Services.exe-Datei. Mein AntiVir erkennt den Fehler und ich kann die Datei löschen. 10-20 Minuten später dasselbe. und so geht das ewig weiter. Was kann ich tun? Ach so, manchmal versucht sich auch der RealPlayer von allein ins Internet zu wählen. Hier mal ein HiJackThis-Log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Steinberg\MI4\MI4tray.exe C:\WINDOWS\System32\rmctrl.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\WINDOWS\System32\MSOffice\services.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTSvcCDA.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\eMule0_44b[1]\emule.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\HiJackThis AntivViren Log Programm\HijackThis.exe C:\Programme\Real\RealPlayer\RealPlay.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:1080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B388} - C:\WINDOWS\System32\CustIE32.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [MI4Tray] C:\Programme\Steinberg\MI4\MI4tray.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\System32\MSOffice\services.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=30579607f432361f4c24553de3a9fe7e27f55e8c7382e8f812488538178c09374cd3d1696277ab341d588a056fa84851d5e1f9fecd5da6e7490e:d3e35fce064c cfbb2d7510b28ebf1261 O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1054256c51b2c3fa2d19/netzip/RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098956210203 O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup152.cab Danke für eventuelle Hilfe! Marc |
23.11.2004, 16:35 | #2 |
| Problem mit Services.exe = Trojaner? @ MarcTale
__________________bitte überprüfe mit virusscan.jotti.dhs.org: C:\Programme\Steinberg\MI4\MI4tray.exe teile uns das Ergebnis der Überprüfung mit. Boote dann in den abgesicherten Modus/ VGA-Modus, (bei Win XP und ME) deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B388} - C:\WINDOWS\System32\CustIE32.dll (file missing) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://public.windupdates.com/get_f...510b28ebf126 1 O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52...meInstaller.exe wenn Du folgende Einträge nicht kennst/brauchst, bitte fixen: (Häk'chen setzen und auf Fix Checked klicken): O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - h**p://download.abacast.com/downloa...abasetup152.cab boote in den normalen Modus. (Win XP und ME) Aktiviere die Systemwiederherstellung. Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Teile uns bitte aus der "mwav.log" NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt? Erstelle ein weiteres, bitte komplettes Hijack This Logfile mit der System-Information (erste vier Zeilen) und poste es. SD |
23.11.2004, 18:20 | #3 |
| Problem mit Services.exe = Trojaner? Hallo,
__________________hier das Ergebnis aus der Mwav.log File C:\WINDOWS\system32\SndMon32.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken File C:\WINDOWS\system32\SndMon32.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\SndMon32.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\SndMon32.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\SndMon32.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\msxmidi.exe infected by "Trojan-Downloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\2323.exe infected by "Trojan-Downloader.Win32.Delf.eb" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\fucksex.exe tagged as not-a-virus:PornWare.Dialer.Salc. No Action Taken. File C:\WINDOWS\System32\loyn.exe infected by "TrojanClicker.Win32.Agent.v" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\proxy.exe infected by "Trojan.Win32.StartPage.po" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\SndMon32.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\0TCHENG9\2DimensionOfExploitsEnc[1].hta infected by "Trojan-Dropper.VBS.Zerolin" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\0TCHENG9\classload[1].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\27AVITIJ\EXPLOIT[1].CHM infected by "TrojanDownloader.VBS.Psyme.v" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\27AVITIJ\exploit[1].exe infected by "Trojan-Downloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\27AVITIJ\tst3[1].exe infected by "TrojanSpy.Win32.Agent.bc" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\47NZMKLD\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\6XNGX83E\bridge-c24[1].cab tagged as not-a-virus:AdWare.WinAD. No Action Taken. File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\CH4RUHQH\xtrayinst[1].exe infected by "Trojan.Win32.VB.jl" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\OPCZOBS7\classload[1].jar infected by "Trojan.Java.Classloader.v" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\OPCZOBS7\exploit[1].exe infected by "Trojan-Downloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\OPCZOBS7\tst[1].chm infected by "Trojan-Downloader.VBS.Psyme.q" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\QHOV6PE1\fuck[1].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Marcus\LOKALE~1\TEMPOR~1\Content.IE5\QHOV6PE1\todlesif[1] infected by "Trojan-Downloader.VBS.Psyme.q" Virus. Action Taken: No Action Taken. Und hier der HiJack-Log : Logfile of HijackThis v1.98.2 Scan saved at 18:25:14, on 23.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTSvcCDA.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\SndMon32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Steinberg\MI4\MI4tray.exe C:\WINDOWS\System32\rmctrl.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\HiJackThis AntivViren Log Programm\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:1080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [MI4Tray] C:\Programme\Steinberg\MI4\MI4tray.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe O4 - HKLM\..\RunOnce: [Windows Sound Manager] SndMon32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe O4 - HKCU\..\RunOnce: [Windows Sound Manager] SndMon32.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1054256c51b2c3fa2d19/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098956210203 Danke schon mal für jede weitere Hilfe! Marc |
23.11.2004, 18:25 | #4 | |
Moderator, a.D. | Problem mit Services.exe = Trojaner?Zitat:
Warum: http://oschad.de/wiki/index.php/Kompromittierung http://www.mathematik.uni-marburg.de...c-removal.html Gruß Yopie |
23.11.2004, 19:02 | #5 |
| Problem mit Services.exe = Trojaner? Na, super, das kann ich mir im Moment ja gar nicht leisten. Hab ein verdammt wichtiges Projekt auf dem Rechner und ausserdem: Heißt das jetzt wirklich, daß gar keine Dateien meines jetzigen Rechners übernehmen kann? So ungefähr ist das nämlich in Deinem Link beschrieben... Sollte ich dann direkt SP2 draufspielen? Werde dann jetzt halt meinem Zweitrechner für´s Netz benutzen. Eben mal ein paar Tips, wie ich den halbwegs vernünftig absichern kann? Sygate Personal hat´s ja wohl nicht gebracht... Marc P.S.: Vielen Dank für Deine Hilfe!! |
23.11.2004, 20:28 | #6 |
| Problem mit Services.exe = Trojaner? Hier findest du wesentliche grundsätzliche Tips, die mehr wert sind als sogenannte Sicherheitssoftware: http://www.mathematik.uni-marburg.de...ompromise.html Theoretisch kann über einen Backdoorschädling nahezu jede Datei deines Rechner manipuliert sein, wobei es doch eher unwahrscheinlich ist, dass jemand sich diese Mühe macht. Welche Dateien würdest du denn retten wollen? Du solltest mit www.clearprog.de deine temporären Dateien löschen und auch deine Interneteinstellungen bezüglich aktiver Inhalte verändern bzw. nicht mehr den IE sondern einen Alternativbrowser wie opera oder firefox verwenden. Das Beste wäre wie vorgeschlagen eine Neuinstallation anhand der Anleitung und dann auf der Basis des sauberen neuen Systems ein Umsetzen der ausgeführten Grundregeln. Die nicht in den temporären Dateien befindlichen Schädlinge solltest du im abgesicherten Modus löschen. |
Themen zu Problem mit Services.exe = Trojaner? |
.dll, adobe, antivir, avgnt.exe, bho, boot, button, dateien, fehler, file, file missing, hijack, hilfe, icq, internet, microsoft, problem, programme, realplayer, services.exe, software, sun java, system, system32, trojaner, trojaner?, update, windows |