|
Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) Hi, ich habe seit einiger Zeit das Problem,dass nach jedem Systemstart ich folgende Fehlermeldung bekomme: Datenausführungsverhinderung - Microsoft Windows Dieses Programm wurde aus Sicherheitsgründen geschlossen Name: Generic Host Process for Win32 Services Herausgeber: Microsoft Corporation Anschließend klicke ich auf 'Meldung schließen', woraufhin sich folgende Fehlermeldung öffnet: aaa hat ein Problem festgestellt und muss beendet werden Problemsignatur: EventType: BEX P1: svchost.exe P2: 5.1.2600.2180 P3: 41107ed6 P4: unknown P5: 0.0.0.0 P6: 00000000 P7: 000c7600 P8: c0000005 P9: 00000008 Diese Fehlermeldung bezieht sich soweit ich weiß auf diese Datei: services.exe Dateiversion : 1.00 Firma : aaa Interner Name : aaa Originaldateiname : aaa.exe Produktname : aaa Produktversion : 1.00 Sprache : Englisch(USA) und befindet sich in C:\WINDOWS Info: Diese beiden Fehlermeldungen tauchten zu erst auf,nachdem ich die,mit dem TuneUp Styler 2 von TuneUp Utilities 2007 veränderten, Boot-und Loginscreens wieder auf die Standardscreens zurücksetzte (auch mit TuneUp Styler 2). Frage: Ist diese services.exe ein Virus oder gehört sie zum Sytem? Oder hab ich mit TuneUp Styler einfach nur meine svchost.exe geschrottet? Wenn ja,wisst ihr,wie ich den Fehler beheben kann? Habe Sophos Antivirus mehrmals komplettes Sytem scannen lassen,ebenfalls mit Spybot S&D,Norton,Blacklight und catchme. Es wurde nichts gefunden. In meinem HJT-Logfile finde ich auch nichts auffälliges. Mein Sytem: Windows XP Professional (5.1.2600) mit SP 2 IE Version: 7.0.5730.11 Vielen Dank im vorraus! ;) MFG ErrOr^ |
Hi, also mit Tuneup an einem System herumzupfuschen empfehle ich nicht. Wegen den paar Sekunden, die man mal den Bootscreen sieht, haben sich schon eine Reihe Leute ihr System platt gemacht. Allerdings finde ich die ergänzenden Angaben zur services.exe sehr merkwürdig, ebenso, dass sie sich in C:\Windows befindet. Die Windowsdatei services.exe ist in system32. Sehr verdächtig! Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
Fertige ein Hijackthis Log deines Systems an. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Alle anderen Programme schließen, Hijackthis.exe starten, auf "Scan" klicken und das Log hier posten. Lass die C:\Windows\services.exe mal bei VirusTotal scannen und kopiere die Ergebnisse hierher inklusive der ergänzenden Angaben wie Name und Größe, MD5 und SHA1. Gleiches für die svchost.exe. Die soll sich übrigens auch in system32 befinden. Gruß, Karl |
Hi Karl, danke für deine Hilfe! ;) aha! hab die services.exe bei VirusTotal scannen lassen,hab es doch geahnt das es so ein W32-Worm ist! Übrigens hab ich auch in C:\WINDOWS\system32 eine services.exe hier das ergebnis für die services.exe aus C:\WINDOWS: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.13.0 2007.09.12 - AntiVir 7.6.0.10 2007.09.13 HEUR/Crypted Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.13 - AVG 7.5.0.485 2007.09.13 - BitDefender 7.2 2007.09.13 - CAT-QuickHeal 9.00 2007.09.13 - ClamAV 0.91.2 2007.09.13 - DrWeb 4.33 2007.09.13 - eSafe 7.0.15.0 2007.09.13 suspiciousTrojan/Worm eTrust-Vet 31.1.5134 2007.09.13 - Ewido 4.0 2007.09.13 - FileAdvisor 1 2007.09.13 - Fortinet 3.11.0.0 2007.09.13 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.13 - Ikarus T3.1.1.12 2007.09.13 - Kaspersky 4.0.2.24 2007.09.13 - McAfee 5118 2007.09.12 - Microsoft 1.2803 2007.09.13 - NOD32v2 2528 2007.09.13 - Norman 5.80.02 2007.09.13 - Panda 9.0.0.4 2007.09.13 Suspicious file Prevx1 V2 2007.09.13 W32.Redplut Rising 19.40.32.00 2007.09.13 - Sophos 4.21.0 2007.09.13 Mal/HckPk-A Sunbelt 2.2.907.0 2007.09.13 - Symantec 10 2007.09.13 - TheHacker 6.1.10.186 2007.09.13 - VBA32 3.12.2.4 2007.09.13 - VirusBuster 4.3.26:9 2007.09.13 - Webwasher-Gateway 6.0.1 2007.09.13 Heuristic.Crypted weitere Informationen: File size: 102857 bytes MD5: 93159995523af1dde2ce32bc9bce391c SHA1: 0b391beef2b146077d6a480528a6d3366d494c1e Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=1D1A99F0C916BC0291F001C54328D3006D2DD161 hier das Ergebnis für die svchost.exe (befindet sich in C:\WINDOWS\system32): Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.13.0 2007.09.12 - AntiVir 7.6.0.10 2007.09.13 - Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.13 - AVG 7.5.0.485 2007.09.13 - BitDefender 7.2 2007.09.13 - CAT-QuickHeal 9.00 2007.09.13 - ClamAV 0.91.2 2007.09.13 - DrWeb 4.33 2007.09.13 - eSafe 7.0.15.0 2007.09.13 - eTrust-Vet 31.1.5134 2007.09.13 - Ewido 4.0 2007.09.13 - FileAdvisor 1 2007.09.13 - Fortinet 3.11.0.0 2007.09.13 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.13 - Ikarus T3.1.1.12 2007.09.13 - Kaspersky 4.0.2.24 2007.09.13 - McAfee 5118 2007.09.12 - Microsoft 1.2803 2007.09.13 - NOD32v2 2528 2007.09.13 - Norman 5.80.02 2007.09.13 - Panda 9.0.0.4 2007.09.13 - Prevx1 V2 2007.09.13 - Rising 19.40.32.00 2007.09.13 - Sophos 4.21.0 2007.09.13 - Sunbelt 2.2.907.0 2007.09.13 - Symantec 10 2007.09.13 - TheHacker 6.1.10.186 2007.09.13 - VBA32 3.12.2.4 2007.09.13 - VirusBuster 4.3.26:9 2007.09.13 - Webwasher-Gateway 6.0.1 2007.09.13 - weitere Informationen: File size: 14336 bytes MD5: 65a819b121eb6fdab4400ea42bdffe64 SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3 Zusatzinfos: svchost.exe Dateiversion : 5.1.2600.2180(xpsp_sp2_rtm.040803-2158) Firma : Microsoft Corporation Interner Name : svchost.exe Originaldateiname : svchost.exe Produktname : Microsoft® Windows® Operating System Produktversion : 5.1.2600.2180 Sprache : Englisch(USA) services.exe (aus C:\WINDOWS\system32) Dateiversion : 5.1.2600.2180(xpsp_sp2_rtm.040803-2158) Firma : Microsoft Corporation Interner Name : services.exe Originaldateiname : services.exe Produktname : Betriebssystem Microsoft® Windows® Produktversion : 5.1.2600.2180 zu guter letzt noch mein HJT-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 12:56:20, on 05.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\NetLimiter 2 Pro\nlsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\CursorXP\CursorXP.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\<Benutzername>\Desktop\Hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O17 - HKLM\System\CCS\Services\Tcpip\..\{EA95F517-D185-4365-BAA0-3F671F57E5C1}: NameServer = <ip> O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Vielen Dank nochmal! :) MFG ErrOR^ |
Das Hiujackthis zeigt Virenscanner von Norton und von Sophos, nicht gute, mehrere zu haben. Außerdem einveraltetes Java. svchost.exe und services.exe in system32 sehen danach aus, dass sie in Ordnung ist. Die services.exe in Windows wohl eher nicht. Bei Sophos habe ich diese Beschreibung gefunden. Bezieht sich also mehr auf die Verpackung als den Inhalt der Datei. Ansonsten sind die Erkennungen sehr wenige, unklar (heuristisch) und stammen größtenteils von Scannern, die nicht gerade erste Klasse sind. Die Datei sollte man mal ansehen. Geh zu The Spykiller - Index und eröffne dort einen neuen Thread, Du musst dich nicht registrieren. Schreib "Mal/HckPk-A" drüber. Kopiere die Scanresultate und lade hoch:
Wir wollen uns mal den Inhalt einiger kritischer Verzeichnisse auf deinem System ansehen. Dazu arbeite bitte diese Anleitung ab. Mach mal einen Onlinecan. Wegen ActiveX brauchst Du dafür den Internet Explorer und musst die ActiveX Controls zulassen. Wenn es nicht funktioniert die jeweilige Seite zu den sicheren hinzufügen. Log speichern und später posten. Kaspersky Ist Tuneup nicht mehr auf dem System? Gibt es die Fehlermeldungen noch? |
Soo,hier erstmal der Log von der filelist.bat: Code: ----- Root ----------------------------- zu guter letzt noch den link zu meinem post in spykiller: Mal/HckPk-A Ich habe am System nichts verändert,Tuneup ist noch drauf und die Fehlermeldungen erscheinen immer nach dem Systemstart. MFG ErrOR^ |
und hier noch das Logfile vom Onlinescan mit Kaspersky: Viren gefunden: 2 Infizierte Objekte gefunden: 2 / 0 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2007-09-14_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\cert8.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\formhistory.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>v\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\history.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\key3.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\parent.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\ntuser.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPPolicy.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStart.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStop.log Das Objekt ist gesperrt übersprungen C:\Programme\Norton AntiVirus\AVApp.log Das Objekt ist gesperrt übersprungen C:\Programme\Norton AntiVirus\AVError.log Das Objekt ist gesperrt übersprungen C:\Programme\Norton AntiVirus\AVVirus.log Das Objekt ist gesperrt übersprungen C:\Programme\Norton AntiVirus\Quarantine\227D62BC.htm Infizierte Objekte: Trojan-Downloader.JS.Agent.hv übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{B67734EA-AAA9-403B-A9E1-B846457327B3}\RP397\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\EventCache\{8F9115E0-80D3-4FB5-80E4-DE640D01F5AC}.bin Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\NetLimit.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\lpr.exe Infizierte Objekte: Trojan.Win32.Inject.eg übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen |
C:\DOKUME~1\<Benutzername>\LOKALE~1\Temp\ex.jpg ist eine Kopie der C:\WINDOWS\services.exe, Inhalt sieht sehr nach einer Backdoor auss. C:\WINDOWS\fwbmz.dll und C:\WINDOWS\win.bat wurden von dieser Infektion auf dem System angelegt. Lass die C:\WINDOWS\system32\lpr.exe ebenfalls mal bei Virustotal scannen. Sie fiel bereits in der Filelist durch eine ungewöhnliche Größe und ein recht aktuelles Datum auf, nun hat Kaspersky auch noch was gefunden. Normalerweise ist die lpr.exe ein Teil von Windows, bei dir wurde sie wohl ersetzt. C:\WINDOWS\win.dll ist ebenfalls verdächtig, auch die scannen lassen. Kannst auch noch mal mit Gmer scannen. Ich würde neu installieren. Ich werde es sogar bestimmt tun, denn beim verschieben der Datei ins Archiv hatte ich einen Unfall mit einer prellenden Maustaste :( |
Sry dass dein system nun auch infiziert wurde :( die win.dll erbrachte kein ergebnis beim virustotal-check. allerdings erzielte der check der lpr.exe mehrere treffer. naja,hab ja eh schon mit neuaufsetzen gerechnet,was solls :( trotzdem vielen dank Karl für die kompetente hilfe! MFG ErrOR^ |
Hey Karl! ich hab die lpr.exe mit AVG reinigen lassen,ohne sie löschen zu müssen,scheint nun wieder absolut clean zu sein!! services.exe (in C:\WINDOWS),ex.jpg,win.bat,win.dll und fwbmz.dll hab ich im abgesicherten modus manuell gelöscht und siehe da! nach dem nächsten neustart kamen keine fehlermeldungen mehr! weiterhin wurden die gelöschten dateien nicht wiederhergestellt! scheint also wieder alles clean zu sein! :daumenhoc MFG ErrOR^ |
Moin Zitat:
Zitat:
Kein Mensch und schon gar keine Software wird dir sagen können, ob und was an deinem System verbogen wurde, mit Ausnahme der Schreiber des Schädlings, aber es ist deine Entscheidung. Prost |
So sieht jedenfalls eine korrekte lpr.exe aus, der md5-Wert aus der letzten Zeile wird auch bei VirusTotal mit angezeigt. Code: C:\WINDOWS\system32>\bin\o\sigcheck.exe -q lpr.exe & \bin\md5sum.exe lpr.exeIch gerne mal einen Bericht von Gmer von deinem System sehen. Da habe ich nämlich ein paar seltsame Einträge entdeckt. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board