Trojaner-Board - Windows Services mit komischen Namen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows Services mit komischen Namen (https://www.trojaner-board.de/44926-windows-services-komischen-namen.html)

Windows Services mit komischen Namen

Unter services.msc ist bei mir eine Menge von Services (10) mit kryptischen Namen und ohne Beschreibung, u.a.

GUX.exe
HZNVBEY.exe
EMVW.exe
PNQYG.exe

Diese verweisen allesamt auf

C:\DOCUME~1\admin\LOCALS~1\Temp\

Startup ist bei allen auf "Manual" und im Autostart sind die auch nicht. Habe den Temp Ordner gelöscht, aber die Services selber löschen kann ich nicht, bzw. weiß nicht wie.

Vor einiger Zeit habe ich das hier sehr beliebte Tool eScan verwendet, das überall auf dem System Mülldateien mit komischen Namen abgelegt hat ("um Spyware abzuwehren, die die gleichen Dateinamen nutzt"). Könnte das auch hier der Fall sein?

Hi,

das hättest Du gerne, aber dafür ist der Escan nicht verantwortlich. Hast Du auf deinem System schon den Rootkitrevealer benutzt?

Fertige ein Hijackthis Log deines Systems an. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Alle anderen Programme schließen, Hijackthis.exe starten, auf "Scan" klicken und das Log hier posten.

Gruß, Karl

Ja, Rootkit Revealer habe ich mal benutzt, vor ein paar Wochen.

Ich habe jetzt die Einträge mit Hijackthis gefixed (waren unter O23 eingetragen) und danach die Services in der Registry entfernt. Sind jetzt unter services.msc nicht mehr zu sehen und der Rest vom Hijack Log sieht imo auch gut aus (so wie vorher).

Code:

Logfile of HijackThis v1.99.1
 

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE (das sind sound driver)

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\HijackThis.exe
 

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B8F52481-4628-4A27-ABEF-48E18129C40D}: NameServer = x.x.x.x (IP vom Router)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Habe nochmal den F-Prot Online Scanner (wie man sieht) und AntiVir, beides mit Rootkit Scanner, laufen lassen, haben aber nichts gefunden.

Hijackthis ist ok.

Ist natürlich schwierig, von den Namen und Ordnern her zu schließen, aber es sieht sehr nach Rootkitrevealer aus. Damit der nicht so leicht von Malware erkannt werden kann, legt er den eigentlichen Scanprozess mit einem zufällig gewählten Namen in diesem Ordner ab und trägt ihn als Service (O23) ein. Normalerweise ist vorgesehen, dass er das alles wieder aufräumt am Ende, wenn er aber abstürzt oder nicht richtig beendet wird, bleiben diese Einträge stehen. Das kommt öfter vor.

Zitat:

Zitat von KarlKarl (Beitrag 301348)

Das wäre eine gute Erklärung, denn ich hatte zuerst Probleme, den Rootkit Revealer zum Laufen zu bringen und musste ihn mehrmals mit STRG+ALT+ENTF beenden.
Habe ihn zuerst von einem Nutzeraccount ausgeführt, der keine Admin Rechte hatte, und dann aus dem ZIP Archiv heraus gestartet, was auch nicht geht.

Danke für deine Hilfe!

Damit ist klar, dass solche Einträge zurückbleiben mussten. Rootkitrevealer muss übrigens (wie alle Rootkitscanner) von einem Konto mit Adminrechten aus gestartet werden. Oder Rechtsklick -> Ausführen als...