Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Windows Services mit komischen Namen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.10.2007, 17:36   #1
trojano
 
Windows Services mit komischen Namen - Standard

Windows Services mit komischen Namen



Unter services.msc ist bei mir eine Menge von Services (10) mit kryptischen Namen und ohne Beschreibung, u.a.

GUX.exe
HZNVBEY.exe
EMVW.exe
PNQYG.exe

Diese verweisen allesamt auf

C:\DOCUME~1\admin\LOCALS~1\Temp\

Startup ist bei allen auf "Manual" und im Autostart sind die auch nicht. Habe den Temp Ordner gelöscht, aber die Services selber löschen kann ich nicht, bzw. weiß nicht wie.

Vor einiger Zeit habe ich das hier sehr beliebte Tool eScan verwendet, das überall auf dem System Mülldateien mit komischen Namen abgelegt hat ("um Spyware abzuwehren, die die gleichen Dateinamen nutzt"). Könnte das auch hier der Fall sein?

Alt 22.10.2007, 05:22   #2
KarlKarl
/// Helfer-Team
 
Windows Services mit komischen Namen - Standard

Windows Services mit komischen Namen



Hi,

das hättest Du gerne, aber dafür ist der Escan nicht verantwortlich. Hast Du auf deinem System schon den Rootkitrevealer benutzt?

Fertige ein HijackThis Log deines Systems an. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Alle anderen Programme schließen, Hijackthis.exe starten, auf "Scan" klicken und das Log hier posten.

Gruß, Karl
__________________


Alt 24.10.2007, 11:16   #3
trojano
 
Windows Services mit komischen Namen - Standard

Windows Services mit komischen Namen



Ja, Rootkit Revealer habe ich mal benutzt, vor ein paar Wochen.

Ich habe jetzt die Einträge mit HijackThis gefixed (waren unter O23 eingetragen) und danach die Services in der Registry entfernt. Sind jetzt unter services.msc nicht mehr zu sehen und der Rest vom Hijack Log sieht imo auch gut aus (so wie vorher).

Code:
ATTFilter
Logfile of HijackThis v1.99.1

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE (das sind sound driver)
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8F52481-4628-4A27-ABEF-48E18129C40D}: NameServer = x.x.x.x (IP vom Router)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
         
Habe nochmal den F-Prot Online Scanner (wie man sieht) und AntiVir, beides mit Rootkit Scanner, laufen lassen, haben aber nichts gefunden.
__________________

Alt 24.10.2007, 14:08   #4
KarlKarl
/// Helfer-Team
 
Windows Services mit komischen Namen - Standard

Windows Services mit komischen Namen



Hijackthis ist ok.

Ist natürlich schwierig, von den Namen und Ordnern her zu schließen, aber es sieht sehr nach Rootkitrevealer aus. Damit der nicht so leicht von Malware erkannt werden kann, legt er den eigentlichen Scanprozess mit einem zufällig gewählten Namen in diesem Ordner ab und trägt ihn als Service (O23) ein. Normalerweise ist vorgesehen, dass er das alles wieder aufräumt am Ende, wenn er aber abstürzt oder nicht richtig beendet wird, bleiben diese Einträge stehen. Das kommt öfter vor.

Alt 24.10.2007, 14:15   #5
trojano
 
Windows Services mit komischen Namen - Standard

Windows Services mit komischen Namen



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Hijackthis ist ok.

Ist natürlich schwierig, von den Namen und Ordnern her zu schließen, aber es sieht sehr nach Rootkitrevealer aus. Damit der nicht so leicht von Malware erkannt werden kann, legt er den eigentlichen Scanprozess mit einem zufällig gewählten Namen in diesem Ordner ab und trägt ihn als Service (O23) ein. Normalerweise ist vorgesehen, dass er das alles wieder aufräumt am Ende, wenn er aber abstürzt oder nicht richtig beendet wird, bleiben diese Einträge stehen. Das kommt öfter vor.
Das wäre eine gute Erklärung, denn ich hatte zuerst Probleme, den Rootkit Revealer zum Laufen zu bringen und musste ihn mehrmals mit STRG+ALT+ENTF beenden.
Habe ihn zuerst von einem Nutzeraccount ausgeführt, der keine Admin Rechte hatte, und dann aus dem ZIP Archiv heraus gestartet, was auch nicht geht.

Danke für deine Hilfe!


Alt 24.10.2007, 18:13   #6
KarlKarl
/// Helfer-Team
 
Windows Services mit komischen Namen - Standard

Windows Services mit komischen Namen



Damit ist klar, dass solche Einträge zurückbleiben mussten. Rootkitrevealer muss übrigens (wie alle Rootkitscanner) von einem Konto mit Adminrechten aus gestartet werden. Oder Rechtsklick -> Ausführen als...

Antwort

Themen zu Windows Services mit komischen Namen
admin, autostart, beschreibung, dateiname, dateinamen, einiger, escan, gelöscht, komische, kryptische, löschen, manual, menge, namen, nutzt, ordner, services, spyware, system, temp, temp ordner, tool, verweise, verweisen, verwendet, windows, überall



Ähnliche Themen: Windows Services mit komischen Namen


  1. Alter laptop Windows vista sp2 32bit: (vermutlich)virus blockt Windows services und einige Internet verbindungen
    Log-Analyse und Auswertung - 04.11.2014 (3)
  2. Windows 7: Windows-Sicherheitscenter und Windows Defender funktionieren nicht mehr, Services.exe verseucht?
    Log-Analyse und Auswertung - 07.01.2014 (8)
  3. Virus in 'C:\Windows\System32\services.exe'
    Plagegeister aller Art und deren Bekämpfung - 08.06.2013 (5)
  4. C:\Windows\System32\services.exe Infiziert!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2013 (58)
  5. 'W32/Patched.UC' [virus] in 'C:\Windows\System32\services.exe'
    Log-Analyse und Auswertung - 15.05.2013 (24)
  6. Malware-gen in C:\Windows\System32\services.exe Windows 7 Service Pack 1 x86 NTFS
    Log-Analyse und Auswertung - 11.11.2012 (13)
  7. bilder mit komischen dateinamen
    Log-Analyse und Auswertung - 19.09.2012 (1)
  8. TR/ATRAPS.Gen2, TR/Sirefef.16896 (in C:\Windows\Installer\...) und W32/Patched.UA (C:\Windows\System32\services.exe)
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (5)
  9. W32/Patched.UB in c:\windows\system32\services.exe
    Log-Analyse und Auswertung - 02.08.2012 (7)
  10. Trojaner: PSW.Generic.RDX in c:\windows\system32\services.exe
    Log-Analyse und Auswertung - 09.01.2012 (29)
  11. Spam mails in meinem namen. Windows Live mail
    Plagegeister aller Art und deren Bekämpfung - 17.12.2011 (2)
  12. Windows 7 X64 startet Automatisch firefox mit komischen links (anleitung vervolg ich) hier die logs
    Log-Analyse und Auswertung - 10.11.2011 (28)
  13. netstat Auswerten mit komischen Namen statt IP
    Antiviren-, Firewall- und andere Schutzprogramme - 06.08.2010 (1)
  14. c\windows\services.exe
    Plagegeister aller Art und deren Bekämpfung - 11.03.2009 (3)
  15. Windows xp home - services.exe
    Plagegeister aller Art und deren Bekämpfung - 15.07.2007 (1)
  16. C:\\windows\system32\services.exe Problem
    Log-Analyse und Auswertung - 28.06.2007 (6)
  17. Hilfe, komischen Sachen!!!
    Log-Analyse und Auswertung - 19.11.2004 (1)

Zum Thema Windows Services mit komischen Namen - Unter services.msc ist bei mir eine Menge von Services (10) mit kryptischen Namen und ohne Beschreibung, u.a. GUX.exe HZNVBEY.exe EMVW.exe PNQYG.exe Diese verweisen allesamt auf C:\DOCUME~1\admin\LOCALS~1\Temp\ Startup ist bei allen - Windows Services mit komischen Namen...
Archiv
Du betrachtest: Windows Services mit komischen Namen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.