Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virenscanner erkennt adv.exe und services.exe im Temp Ordner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 14.10.2006, 14:44   #1
Ozzelot
 
Virenscanner erkennt adv.exe und services.exe im Temp Ordner - Standard

Virenscanner erkennt adv.exe und services.exe im Temp Ordner



Hallo,

also mein Virenscanner erkennt die letzten Tagen jedesmal kurz nach dem ich ins Internet gehe 2 Dateien als Trojaner im C:/Windows/Temp/ Ordner. Einmal die Datei adv.exe und einmal services.exe die beiden Dateien verschwinden auch kurze Zeit später wieder aber auch wenn ich nichts im Internet mache scheint meine Leitung ziemlich ausgelastet zu sein. Kann mir wer helfen?

Hier noch der HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:18:00, on 14.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\mxs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\KB754830.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Ozzelot©\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {BCD2AF6E-4271-6572-6429-A63F26792311} - C:\WINDOWS\System32\msjke.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://s1.teamlearn.de/qp2.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FE0F5A9-6FF3-4179-9FCD-9585D0CAFD5A}: NameServer = 85.255.116.55,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{49A0A081-0B18-47EB-A012-96513AE63DD7}: NameServer = 85.255.116.55,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{58602A05-56C2-43F2-86F4-53B66D25F7C1}: NameServer = 85.255.116.55,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{F14D6C7C-33E6-4EBE-AFA2-534B735A9FFA}: NameServer = 85.255.116.55,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4EC18B4-7312-4475-8DAF-1E5CE04869D6}: NameServer = 85.255.116.55 85.255.112.136
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe (file missing)


Danke schonmal im Vorraus.
Gruß Ozzelot

Alt 14.10.2006, 16:16   #2
Sunny
Administrator
> Competence Manager
 

Virenscanner erkennt adv.exe und services.exe im Temp Ordner - Standard

Virenscanner erkennt adv.exe und services.exe im Temp Ordner



Hallo.

Dein System ist als kompromittiert zu betrachten, da eine ganze handvoll Trojaner und zusätzlich auch noch eine DNS-Umleitung dein System in der Hand hat.

Dein Provider sitzt jetzt in der Ukraine:

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FE0F5A9-6FF3-4179-9FCD-9585D0CAFD5A}: NameServer = 85.255.116.55,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{49A0A081-0B18-47EB-A012-96513AE63DD7}: NameServer = 85.255.116.55,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{58602A05-56C2-43F2-86F4-53B66D25F7C1}: NameServer = 85.255.116.55,85.255.112.136
Diese Schädlinge sind in deinem System aktiv:

Troj/Agobot-A
Troj/Goldun-AH

Sowie noch jede Menge andere Schädlinge.

Der eizigste Weg für eine Bereinigung ist eine Neuinstallation, alles andere wäre sinnfrei und zwecklos.

Und nochmal, eine andere Möglichkeit gibt es NICHT!

Gruß
Sunny
__________________

__________________

Alt 14.10.2006, 16:33   #3
Ozzelot
 
Virenscanner erkennt adv.exe und services.exe im Temp Ordner - Standard

Virenscanner erkennt adv.exe und services.exe im Temp Ordner



Ok trotzdem vielen dank für deine schnell Hilfe, werd ich das System mal neu installieren und hoffen das ich dann wieder befreit von diesem Scheiss bin.
__________________

Alt 14.10.2006, 16:38   #4
Sunny
Administrator
> Competence Manager
 

Virenscanner erkennt adv.exe und services.exe im Temp Ordner - Standard

Virenscanner erkennt adv.exe und services.exe im Temp Ordner



Zitat:
Zitat von Ozzelot
Ok trotzdem vielen dank für deine schnell Hilfe, werd ich das System mal neu installieren und hoffen das ich dann wieder befreit von diesem Scheiss bin.
Was an dem Schädlingsbefall wahrscheinlich auch mmit Schuld dran hat, ist das hier:

Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Es fehlen das Service Pack 2 sowie alle nachfolgenden Uodates!
Um das System noch sicherer zu machen solltest du dir das mal durchlesen:

weitere Absicherung

Lies dir den Punkt "Nach dem Neuaufsetzen und VOR der ersten Internet Verbindung solltest du folgende Punkte abarbeiten"

Wenn du alles so eingerichtet hast, wird es mit einer Infektion nicht mehr so schnell gehen

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 14.10.2006, 22:05   #5
Ozzelot
 
Virenscanner erkennt adv.exe und services.exe im Temp Ordner - Standard

Virenscanner erkennt adv.exe und services.exe im Temp Ordner



So hab nun formatiert und alles neu installiert und hier nochmal mein jetztiger HijackThis Log sieht auf jedenfall schonmal wesentlich leerer aus.


Logfile of HijackThis v1.99.1
Scan saved at 23:03:15, on 14.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Ventrilo\Ventrilo.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Ozzelot©\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FAF3B7A-3335-4597-879C-E03186697C68}: NameServer = 217.237.151.225 217.237.150.205
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Alt 14.10.2006, 22:08   #6
Sunny
Administrator
> Competence Manager
 

Virenscanner erkennt adv.exe und services.exe im Temp Ordner - Standard

Virenscanner erkennt adv.exe und services.exe im Temp Ordner



Wunderbar, es gibt auch noch "lernwillige" Hilfesuchende hier im Board
Du hast das umgesetzt was man dir empfohlen hat, das Service Pack 2 installiert sowie die nachfolgenden Updates.

Dann wünsch ich dir jetzt noch viel Spass beim surfen... :aplaus:

Gruß
Sunny
__________________
--> Virenscanner erkennt adv.exe und services.exe im Temp Ordner

Alt 14.10.2006, 22:50   #7
Ozzelot
 
Virenscanner erkennt adv.exe und services.exe im Temp Ordner - Standard

Virenscanner erkennt adv.exe und services.exe im Temp Ordner



Ja dir auch nochmal Danke für die schnelle und gute Hilfe.

Gruß
Ozzelot

Antwort

Themen zu Virenscanner erkennt adv.exe und services.exe im Temp Ordner
adobe, antivir, ausgelastet, avira, bho, computer, dateien verschwinden, desktop, document, einstellungen, explorer, google, helfen, hijack, hijackthis, hijackthis logfile, internet, internet explorer, logfile, mysql server, rundll, scan, server, services.exe, software, system, temp, temp ordner, trojaner, windows xp



Ähnliche Themen: Virenscanner erkennt adv.exe und services.exe im Temp Ordner


  1. Sonderbarer Ordner im Win Temp Ordner
    Alles rund um Windows - 14.02.2014 (1)
  2. Automatische Screenshots im Temp-Ordner
    Log-Analyse und Auswertung - 18.01.2011 (10)
  3. TR/Dropper.Gen im Windows\Temp Ordner
    Plagegeister aller Art und deren Bekämpfung - 01.07.2010 (1)
  4. über 20 Trojaner im Temp ordner!
    Plagegeister aller Art und deren Bekämpfung - 04.06.2010 (1)
  5. Wiederkehrender Trojanerbefall via Temp Ordner
    Log-Analyse und Auswertung - 01.06.2010 (15)
  6. SCREENSHOTS im Temp-Ordner
    Log-Analyse und Auswertung - 20.04.2010 (1)
  7. TM erkennt rootkit im KIS2010 ordner. flase positive?
    Mülltonne - 07.04.2010 (4)
  8. Trojaner im System32 und Temp Ordner
    Plagegeister aller Art und deren Bekämpfung - 05.01.2009 (1)
  9. Mehrere .tmp Trojaner im Temp Ordner
    Mülltonne - 09.11.2008 (4)
  10. Komische Datei im Temp ordner
    Plagegeister aller Art und deren Bekämpfung - 25.09.2008 (1)
  11. MSN Virus (www.very-naked.com) tarnt sich als services.exe im ordner Temp!
    Antiviren-, Firewall- und andere Schutzprogramme - 15.01.2008 (2)
  12. mx_**.temp dateien in windows/temp ordner?
    Plagegeister aller Art und deren Bekämpfung - 27.06.2007 (1)
  13. Bitte um Hilfe! PC wird langsamer.. Virenscanner erkennt nichts.. NTOS.EXE?
    Log-Analyse und Auswertung - 22.05.2007 (1)
  14. TR/Crypt.XPACK.Gen im TEMP-Ordner
    Plagegeister aller Art und deren Bekämpfung - 08.04.2007 (2)
  15. VirenScanner erkennt Vundo..ständige PopUps, stürzt ab, HILFE
    Plagegeister aller Art und deren Bekämpfung - 23.04.2005 (7)
  16. Temp und Cache Ordner
    Alles rund um Windows - 10.03.2005 (7)
  17. Mega-Dateien im TEMP-Ordner????
    Alles rund um Windows - 07.12.2004 (2)

Zum Thema Virenscanner erkennt adv.exe und services.exe im Temp Ordner - Hallo, also mein Virenscanner erkennt die letzten Tagen jedesmal kurz nach dem ich ins Internet gehe 2 Dateien als Trojaner im C:/Windows/Temp/ Ordner. Einmal die Datei adv.exe und einmal services.exe - Virenscanner erkennt adv.exe und services.exe im Temp Ordner...
Archiv
Du betrachtest: Virenscanner erkennt adv.exe und services.exe im Temp Ordner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.