Trojaner-Board - services.exe problem

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - services.exe problem (https://www.trojaner-board.de/6320-services-exe-problem.html)

services.exe problem

hallo leute

icch hab ein ziemliches problem:
ich hab zwei services.exe prozesse am laufen!?! einer davon ist der normale windows prozess, der in windows/system32 beheimatet ist.
der andere services.exe prozess ist in c:\windows abgelegt und ist warscheinlich böse.
beide prozesse laufen dem taskmanager zufolge, allerdings kann ich den 'bösen' services.exe prozess nicht beenden, versuche ich dies wird angezeigt: der taskmanager konnte diesen kritischen prozess nicht beenden.
von den üblichen antivir programmen wird nichts gefunden (norton av, adaware, spybot s&d + andere), hijackthis zeigt ebenfalls nichts an was dieses betrifft.

wenn ich versuche, die datei in c:\windows zu löschen funzt das auch nicht, warscheinlich weil der prozess nicht zu beenden ist.

meine daten: winxp home: alle updates installiert (wirklich alle)

bitte um hilfe, neptune

ich mein natürlich dabei zu helfen, den services.exe prozess zu eliminieren..

i need ur help so bad

Prüf die Datei aus dem Windows-Ordner bitte hier:
http://www.kaspersky.com/de/scanforvirus

Ergebnis?

moin,

stelle doch x das log hierrein!

im hijacklog ist kein eintrag auf diesen prozess bezogen, sonst hätte ich den log schon gepostet

online virenscanner von kapersky sagt: Zu überprüfende Datei: services.exe

services.exe - packed with MEW
services.exe Ok

Statistiken:

Bekannte Viren:92897Updated:15-07-2004Größe der Datei (Kb):12Viren-Korpus:0Datei:2Warnungen:0Archive:0Verdächtigt:0http://www.kaspersky.com/de/imagesde...label_sh_1.gif

Nee, die Datei ist trotzdem nicht ok. Sende sie mal bitte via Mail an die in meiner Signatur genannten Adressen. Danke!

ja ich weiss, dass die nicht okay ist. sie hatte auch versucht als ich im internet war kontakt zu irgendwas aufzunehmen, konnte ich aber mit norton firewall blocken.

wie kann ich den prozess im taskmanager beenden und dann die datei services.exe im windows ordner löschen? BITTE UM HILFE

+ wieso wird der prozess beim windowsstart automatisch aufgerufen, wo kann ich das in der registry einsehen?

neptune

Stell doch bitte dennoch einmal das Log hier herein.

Logfile of HijackThis v1.98.0
Scan saved at 14:15:38, on 15.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\services.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Symantec\LiveUpdate\LUALL.EXE
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Dokumente und Einstellungen\Der Chef\Eigene Dateien\Securitee\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinPatrol PLUS] C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{44F10591-6585-480D-AC64-09B553E94FD6}: NameServer = .................

OK, such mal in der Registry nach:

C:\WINDOWS\services.exe

Wo werden Einträge dazu gefunden? Bitte hier ggf. die genauen Pfade posten!

ja da hab ich welche gefunden aber schon heut morgen alle gelöscht, da waren welche bei:
currentuser/software/microsoft/windows/explorer/comdlg32/opensavemru/ hier beim * und exe unterorner

da war allerdings auch ein muninst.exe drin, den konnte ich allerdings unter c/windows so löschen.

und ein eintrag bei:
currentuser/software/microsoft/windows/currentversion/shellnoroam/muocache

wie gesagt alle schon gelöscht

Zum Beenden das laufenden Prozesses:

1.) Läuft er auch im abgesicherten Modus? Falls nein, sollte die Datei aus dem Windows-Ordner herauszunehmen sein.
2.) Versuche, den Prozess ggf. mit Trojancheck zu beenden (Prozesse und Überwachung) -> http://trojancheck.de
3.) Nochmals die Bitte, die Datei an die in meiner Sig genannten Adressen einzusenden, damit diese bisher unbekannte Malware an die Antiviren-Labs zur Aufnahme in die Signaturen zugesandt werden kann. Danke.

wie stell ich den abgesicherten modus ein? dumme frage aber... ich weiss es nicht

i swear to fuckin god, dude, u fuckin rock..
ich habs mit trojancheck geschafft..
danke nochmals.. will hoffen dass der prozess nach neustart nicht wieder da ist..

mist, ich konnte den prozess zwar beenden und dann die exe löschen aber nach neustart war beides wieder da. dann hab ich systemwiederherstellung deaktiviert und das gleiche nochmal mit trojancheck und dann exe gelöscht - kommt trotzdem wieder.
was kann ich da machen?

neptune

Zitat:

wie stell ich den abgesicherten modus ein? dumme frage aber... ich weiss es nicht

Versuch im abgesicherten Modus zu löschen

Die systemwiederherstellung deaktiviert lassen

ist trotzdem wieder da.. woran kann das liegen?

Schon mit CW Shredder versucht und hier lesen - etwas runtersrollen bis SpHjfix.exe

Das kann daran liegen, dass sie nur das sichtbare Ergebnis einer weiteren aktiven Malware ist. Solange ich aber nicht weiß, worum es sich bei der malware handelt, wird es schwierig. Kaspersky erkennt sie ja als "sauber". Darum bat ich dich ja um Zusendung der Datei...

hab soeben die mail versandt.
den cwshredder hab ich durchlaufen lassen, hat allerdings nix gefunden.

was kann ich noch machen?

neptune

Zitat:

was kann ich noch machen?

Zitat:

und hier lesen - etwas runtersrollen bis SpHjfix.exe

SpHjfix.exe auch ?

ja, damit bin ich nicht infiziert

es sorgt warscheinlich ein plotter dafür, dass der services.exe eintrag nach neustart immer wieder hergestellt wird.
hat jemand ne idee wie man den unbekannten plotter einfangen und löschen kann?

neptune bittet dringend um weitere hilfe - danke

neptune bittet dringend um weitere hilfe - danke

Also, die Datei selbst ist in der Tat ein TrojanDownloader. Das hilft aber leider nicht weiter, den diese Datei startenden Prozess zu ermitteln. Was ergeba denn die Prüfung mit eScan?

der übeltäter war msapplg.exe

danke für die hilfe, besonders mmk

Wie hast du sie ausfindig gemacht?

hi ich hab das selbe problem ja gut das neptune die datei gefunden hat nur wo ist die wen ich suchen sag findet er sie nicht -.- und alles andere hat bei mir wie bei neptune auch nicht geklapt