Erstmal hallo, lese schon lange immer wieder hier (notgedrungen) =)

jetzt komme ich aber um eine Frage nicht herum.

msconfig zeigt mir einen unbekannten Dienst namens "teriveuhw".
autoruns oder andere tools zeigen mir nichts mit dem Namen, auch eine Suche über den gesamten Rechner findet nichts. Nichteinmal Google&co findet irgendwas mit dem Namen - was recht komisch ist, inzwischen findet Google ja zu fast ejder beliebigen Buchstabenkombination irgendetwas. =)

Hab dann eben nach "unbekannter Dienst keinen Treffer" gegoogelt und ein Thread hier im Forum gefunden. Nur der Dienst heisst anders.

Hat emand eine Idee worum es sich da handelt?

Ich kann nachher einen HJT-Log posten, den muss ich nur erstmal entsprechend editieren (und mich vorher schlau machen was ich da editieren soll) - dazu hab ich aber erst später heute Nachmittag Zeit, aber wollte die Frage schonmal loswerden.

achja....
das ganze ergab sich durch eine Infektion mit einigen Viren, Trojanern und anderen "Viechern", wobei ich seit Tagen versuche der Sache auf den Grund zu gehen.

...und...ich weiss das hier gerne und schnell (und sinnigerweise) das Neuaufsetzen des Systems empfohlen wird, stehe auch kurz davor.
Auch wenn ich es gerne umgehen würde, denn ich habe kein image eines sauberen, mir zugeschneiderten Systems, habe also dann einen riesenaufwand vor mir, bis das System wieder auf dem Stand ist. (Herlferlein, Software, etc...)

Auch wenn es wenig Sinn macht, interessiert es mich doch, wie die Chancen stehen ein so verseuchtes System manuell wieder sauber zu bekommen, auch wenn es eventuell mehr Arbeit ist als das Neuaufsetzen - wobei letztendlich sowas erst entschieden werden kann wenn ich ungefähr weiss wie gross der Aufwand ausfällt. Bin kein Experte, aber auch kein Laie, siedelt mich irgendwo dazwischen an-

Also dann...jetzt erstmal kochen gehen... ichh schau später wieder rein. Bin gespannt. =)

MfG
Cream

Heya,

erzähl uns bitte noch um welches Betriebssystem es sich handelt.

Ist vor dem Eintrag bei msconfig ein Haken zu sehen, oder nicht?

Was du editieren musst steht zb in unserer HijackThis Anleitung unter

Einsetzen von HJT - Auswertung:
2. Möglichkeit.

Außerdem stand es auch in dem großen roten Kasten, während du dein Thema erstellt hast.

lg myrtille

Ah, ganz vergessen...

XP pro SP2, aber schon eine Weile keine Updates mehr geholt (6 Monate etwa)
...das liegt weniger an Faulheit oder Unwillen, als an einer schrottigen ISDN-Verbindung ohne Flatrate.


Vor dem Dienst ist ein Haken und es ist kein Windows-Dienst. Also er wird nicht ausgeblendet wenn ich das anhake.

Die Bearbeitung des HJT-Logs... ich hab schon gesehen wo das steht, hatte halt nur noch keine Zeit das durchzugehen. =)
Werd ich aber nachher/gleich machen.

So, gestern hab ich es nicht mehr geschafft.

hier also nun das HJTlog. (waren weder private angaben noch https zum ersetzen drinn - sieht mir eh ziemlich "kurz" aus das dingens...hab ich eventuell einstellungen bei HJT übersehen?)

in der letzten Zeile findet sich "Teriveuhw" in Zusammenhang mit Acronis (True Image ist installiert), aber irgendwie ist die Zeile nciht sehr aussagekräftig.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:14:54, on 29.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\adaware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Avira\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
E:\PROGRA~1\escan\eScan\VISTA\avpmapp.exe
E:\PROGRA~1\escan\eScan\TRAYSSER.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\MagicTune Premium\MagicTuneEngine.exe
E:\Programme\Mamutu\Mamutu\a2service.exe
E:\PROGRA~1\escan\eScan\consctl.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
E:\PROGRA~1\escan\eScan\TRAYICOS.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
E:\Programme\NTune\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Programme\sandboxie\SbieSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
E:\Programme\Avira\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft IntelliPoint\dpupdchk.exe
E:\Programme\sandboxie\SbieCtrl.exe
C:\Programme\MagicTune Premium\GammaTray.exe
E:\Programme\Launchy\Launchy\Launchy.exe
C:\Programme\SEC\Natural Color Pro\NCProTray.exe
C:\Programme\MagicTune Premium\MagicTune.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Programme\SpeedProject\SpeedCommander 9\SpeedCommander.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\Firefox\firefox.exe
E:\Programme\sandboxie\SandboxieRpcSs.exe
E:\Programme\sandboxie\SandboxieDcomLaunch.exe
E:\Programme\Discount Surfer\Discountsurfer\Discountsurfer.exe
E:\Programme\HJT\hobobdatt.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - E:\Programme\snagit\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA61DE26-FA67-4575-9033-918671094293} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\Programme\snagit\SnagItIEAddin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [NVIDIA nTune] "E:\Programme\NTune\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SandboxieControl] "E:\Programme\sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = E:\Programme\ObjectDock\ObjectDock.exe
O4 - Global Startup: GammaTray.lnk = ?
O4 - Global Startup: Launchy.lnk = E:\Programme\Launchy\Launchy\Launchy.exe
O4 - Global Startup: NCProTray.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{76978864-689D-4A5C-960B-AC2B2D31F0F5}: NameServer = 194.25.2.129
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\adaware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - E:\PROGRA~1\escan\eScan\VISTA\avpmapp.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - E:\PROGRA~1\escan\eScan\TRAYSSER.EXE
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Programme\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: Mamutu Service (Mamutu) - Emsi Software GmbH - E:\Programme\Mamutu\Mamutu\a2service.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - E:\Programme\NTune\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - E:\Programme\sandboxie\SbieSvc.exe
O23 - Service: Teriveuhw - Acronis - (no file)

--
End of file - 9034 bytes
         

Hatte gestern Abend übrigens noch ein eScan gemacht (im abg. Modus) und dabei mehrere Sachen gefunden. Konnte aber die find.bat nicht anwenden, weil das log nicht deutsch ist, obwohl ich auf deutsch gehakt hatte. Das ganze eScan-Log erspar ich mir, das ist nämlich 52mb gross.

Gefunden wurden:

+ Cutwail Trojan
+ ShangXing Backdoor
+ Fujacks-type Worm
+ Trojan-Downloader.Win32.Agent.aqfw (in .../system32/oajoo.dll)

diese (oajoo.dll) Datei kann ich mit Virustotal nicht scannen, da kommt "0 bytes size received" - obwohl die Datei 62kb gross ist. Das passierte mir die letzten Tage mit einigen Dateien die ich aufgrund von verschiedenen Reports scannen wollte.

Achja, falls das am HJTlog ersichtlich ist, ich habe mom. mehrere Virenscanner installiert, aber nicht gleichzeitig aktiv. Das auch erst seitdem ich auf der Suche nach dem/n Übeltäter/n bin. Ansonsten läuft auf meinem Rechner eigentlich immer nur Antivir (Avira) (und Spybot+ Ad-Aware).

MfG
Cream

**edit**
(finde keinen Editierknopf, darum ein tripple...)

Meine Aussage aus dem ersten Post, das ich das System lieber von Hand säubern will als Neuaufsetzen hat soch wohl erledigt...

Hi,

editieren geht nur innerhalb der ersten Stunde.


Der Eintrag ist in der Tat etwas seltsam. Hast du in letzter Zeit etwas von Acronis installiert/deinstaliert?

Acrobat könnte übrigens ein Update vertragen.

Installiere bitte mal Malwarebytes und lasse das deinen Rechner scannen, post das Ergebnis dann hier.
erstell bitte auch ein Log mit GMER und RootkitRevealer:
Das sind einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden
• nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

• Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

lg myrtille

Ja, habe Acronis True Image installiert. Aber schon ein Weilchen her.

Acrobat...ja, koennte so einiges Updates vertragen. Das ist das doofe mit ISDN. Aber nur noch drei Tage...

sollen malwarebytes, gmer und rootkitrevealer im normalen oder abgesicherten Modus laufen? Normal nehme ich an?

Hab mir vorhin bei einem Bekannten alle aktuellen Updates und Patches für XP besorgt, einer Neuinstallation steht also nichts mehr im Wege. Werde die Scans aber trotzdem Heute Abend machen. Wird allerdings wieder etwas später fürchte ich.

MfG
Cream

Moin!

So, hab mich jetzt doch entschieden das System neu aufzusetzen. Hab heute den Zweitrechner neu gemacht, und das hat mir ein bisschen den Unmut genommen, so dass ich den anderen auch gleich machen werde. Ist doch viel einfacher und sicherer und vorallem schneller als das ewige Scannen, Auswerten, Säubern, Scannen, Zweifeln, etc.... =)

Trotzdem Danke für die angebotene hilfe!

Aber eine Frage hab ich dennoch im Kopf.
Meine Festplatte (500GB) ist in 3 Partitionen aufgeteilt.

c:\ System only
D:\ Programme
E:\ Data

(Wobei inzwischen auf E:\ auch ein paar Programme installiert sind, weil der Platz knapp wurde.)
Muss ich jetzt beim System neu aufsetzen ALLE Partitionen plätten?
Oder reicht es wenn ich auf E:\ alles was weg kann lösche?
- Übrig bleiben würde auf E:\ dann ein Haufen MP3s, ein paar Filme und Images, und eine Menge Projektdaten (Photoshop, PDF, DOC...)
Die DOCs + PDFs lösch ich lieber doch, aber was ist mit MP3, PSD, JPG (Bilder allgemein) etc... ?

MfG
Cream

Hi,

bedenklich sind in der Regel nur ausführbare Dateien, also Endungen wie exe, com, scr.
Wenn du dein Betriebssystem neumachst musst du auch alle Programme neuinstallieren. Das ist klar oder?

Dokumente, Bilder, Musik und so sollten nicht betroffen sein. Wenn du jedoch die Partitionsgrößen verändern möchtest, dann solltest du die Dokumente sicherheitshalber nochmal woanders speichern.

lg myrtille

Ja, das Programme alle neu installiert werden müssen ist klar.

also C und D werden beide formatiert.
auf D liegen als ausführbare Dateien nur ein paar installierte Programme und Downloads/Tools. Reicht es also die zu deinstallieren (vorher) und die Downloads zu löschen - also das auf D nur meine Dokumente und Projekte bleiben?

Wobei doch zumindest in PDFs inzwischen auch schon eine Menge übles Gefiechs stecken kann oder? (und DOCs erst recht)...

Cream

Hi,

ja theoretisch gibt es Malware, die pdf oder doc oder auch Musikdateien infizieren kann.
Aber zum einen sind die Erkennungen der Antivirenscanner in dieser Hinsicht gut und zum anderen braucht es zu dem bösartigen Gesindel im PDF auch immer noch den richtigen PDF-Reader mit der entsprechenden Sicherheitslücke um das Gesindel aus dem PDF rauszulassen.

Wenn du also nach dem Neuaufsetzen alle deine Daten scannst (und nichts gefunden wird) und dir dann die aktuellsten Programme installiert kann eigentlich nicht viel passieren.

lg myrtille

Ok, dann bin ja einigermassen beruhigt. Hatte schon verzweifelt überlegt was ich mit den ca. 200gb mp3s mache. (kein externes laufwerk...das hätte eine laaange Brennsession gegeben)

Und den Acrobat werd ich dann wohl auch mal updaten. =)

Cream