Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   [HILFE] services/reader_s lässt sich nicht löschen (https://www.trojaner-board.de/71303-hilfe-services-reader_s-laesst-loeschen.html)

Sonnenstuhl 23.03.2009 06:54
[HILFE] services/reader_s lässt sich nicht löschen
 
Hallo,

so langsam verzweifle ich, ich kann 2 Viren iht löschen, reader_s und services
Ich habe auch schon bereits das Betriebssystem (XP) neuinstalliert, aber dennoch pustekuchen, die Viren sind noch da...

Weiß jemand wie ich diese Viren löschen kann, und kann mir jemand für die Zkunft eine gute AntivirenSoftware empfehlen (ich habe vorher AntiVir benutzt)

Ich danke euch im Voraus

Das hat HijackThis ausgespuckt:

Zitat:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATK Hotkey\ASLDRSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Paltalk Messenger\paltalk.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Ikraam\reader_s.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\svchost.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://signup.live.com/signup.aspx?mkt=en-us&rollrs=12&lic=1
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\pdbcopy.exe,C:\WINDOWS\system32\gcc.exe,
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Dokumente und Einstellungen\Ikraam\reader_s.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: PalTalk.lnk = C:\Programme\Paltalk Messenger\paltalk.exe
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Programme\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

Sonnenstuhl 23.03.2009 09:47
Hallo nochmal,

ich habe nun XP nochmal aufgespielt (2mal formatiert), und jetzt ist da was neues mit dabei :confused::confused: --> afisicx


Zitat:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATK Hotkey\ASLDRSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\w.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\mas7.tmp
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\afisicx.exe
C:\WINDOWS\system32\tdctxte.exe
C:\WINDOWS\system32\sopidkc.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\BN31.tmp
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\al-Khafiyya\Desktop\zasuiteSetup_de.exe
C:\WINDOWS\system32\dxonool32.sys

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\actcontroller.exe,
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CCC.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: afisicx Service (afisicx) - Unknown owner - C:\WINDOWS\system32\afisicx.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Programme\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: sopidkc Service (sopidkc) - Unknown owner - C:\WINDOWS\system32\sopidkc.exe
O23 - Service: tdctxte Service (tdctxte) - Unknown owner - C:\WINDOWS\system32\tdctxte.exe

handball10 23.03.2009 17:45
moin moin,

also, irgendwas muss ja bei den 3 Formatierungen schief gelaufen sein :headbang:
Als erstes: Neues HijackThis-Log (diesmal komplett, hier fehlt nämlich der Kopf)

Wenn du nach dem Neuaufsetzen deine Daten zurückgespielt hast, kann das hier:
Code:
C:\WINDOWS\System32\reader_s.exe
vermutlich der Ursprung allen Übels sein!
Dürfte das hier sein:

Zitat von nochdigger:
Zitat:
W32/Virut-A ist ein Virus und eine IRC-Backdoor für die Windows-Plattform.

Wenn eine Datei ausgeführt wird, die mit W32/Virut-A infiziert ist, wird der Virus resident im Speicher und versucht, alle ausführbaren Dateien zu infizieren, auf die von Prozessen zugegriffen wird, die im System aktiv sind. W32/Virut-A verbreitet sich auf diese Weise sehr schnell im Dateisystem.

W32/Virut-A versucht außerdem, sich mit einem IRC-Kanal zu verbinden und so als Backdoor zu fungieren, über die ein remoter Angreifer dem System schaden kann.
Lass außerdem folgende Dateien bei VirusTotal - Kostenloser online Viren- und Malwarescanner auswerten:

Code:
C:\WINDOWS\system32\w.exe
C:\WINDOWS\TEMP\mas7.tmp
C:\WINDOWS\system32\afisicx.exe
C:\WINDOWS\system32\tdctxte.exe
C:\WINDOWS\system32\sopidkc.exe
C:\WINDOWS\TEMP\BN31.tmp
C:\WINDOWS\system32\actcontroller.exe
Ergebnisse jeder Datei posten!
Anschließend:
Neuaufsetzen --> mind. Service Pack 2 offline aufspielen!
Wenn du eine Datensicherung hast, lass sie bevor du sie auf den frischen PC spielst bspw. von MalwareBytes Atni-Malware überprüfen!

Gruß
Handball10

handball10 23.03.2009 20:00
moin moin,

hab noch was wichtiges vergessen.
Lass folgende Datei ebenfalls bei Virustotal überprüfen:

Code:
C:\WINDOWS\system32\dxonool32.sys
Gruß
Handball10


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131