| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: services.exe spinnt...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.08.2009, 12:39
| #16 |
  |  services.exe spinnt... Die sollten vom Kompetenzteam ausgewertet werden... Ich habe auch noch keine Nachricht bekommen... Abwarten.
__________________ _____________________________________________ „Optimismus ist nur ein Mangel an Information.“ Heiner Müller Sicherheit?->Allgemeine Informationen Der Plural von Virus heisst "Vira"! virus(viri, n.) Substantiv O-Deklination Nom.pl/Akk.pl. |
|
15.08.2009, 13:02
| #17 |
| | services.exe spinnt... Also vor Montag wird das nichts. Die Leute wollen ja`auch mal Wochenende haben. Du könntest inzwischen die noch ausstehenden Malwarebytes und Gmerlogs, hier rein kopieren.
__________________
__________________ |
|
15.08.2009, 16:06
| #18 |
 | services.exe spinnt... Malwarebytes' Anti-Malware 1.40
__________________Datenbank Version: 2551 Windows 5.1.2600 Service Pack 3 15.08.2009 17:05:27 mbam-log-2009-08-15 (17-05-22).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 200252 Laufzeit: 36 minute(s), 19 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 6 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Felix\msword98.exe (Trojan.FakeAlert.H) -> No action taken. C:\WINDOWS\system32\msword98.exe (Trojan.FakeAlert.H) -> No action taken. E:\System Volume Information\_restore{25D3A7CE-4D65-46C1-95B3-AC13CE73D78D}\RP212\A0090474.exe (Malware.Packer) -> No action taken. C:\WINDOWS\Temp\wpv271250008288.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\Temp\wpv311250109698.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken. C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\wiaserva.log (Malware.Trace) -> No action taken. C:\Dokumente und Einstellungen\Felix\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken. C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken. |
|
19.08.2009, 15:29
| #19 |
| |  services.exe spinnt... ich habe weitere Probleme bekommen... Gestern musste ich etwas für die Schule aus dem Internet raussuchen. Ich bin eigentlich nur auf seriösen Seiten gesurft. Als ich dann heute den PC startete, wollte er nicht mehr hochfahren. Immer am Windows Ladebalken hängengeblieben... Letzte als funktionierende bekannte Konfiguration gewählt und er fuhr wieder hoch. Ein Freund von mir war auf der gleichen Seite und beschwert sich auch über einen Worm! Ich würde gerne eine genaue Erklärung haben, was dieser Worm/ Trojaner anrichtet. Ich habe echt Angst... Habe mal auf Wunsch von RobSen Malwarebytes und GMER gestartet: Hier mal die GMER Logs als Anhang (zu groß !!) Dann hab ich die Malwarebyte - Logs auch gleich als Anhang! ist somit übersichtlicher der Thread! Soll ich noch irgendwas durchführen? Ich will die Dinger ein für alle Mal loswerden, ich will ungestört surfen... Nicht das das irgendein Backdoor ist, dann heul ich. Naja, ich mach ja kein Online Banking etc., ist eigentlich nur mein Zocker PC, aber ich habe kein Bock auf diese Viren... Oha, wie ich gesehen habe 2x Backdoor... HILFE! PS: Dieses Problem hat nichts mit meinem "services.exe Problem" zu tun!!! Das Problem besteht aber weiterhin!! |
|
19.08.2009, 21:33
| #20 |
| | services.exe spinnt... Also entweder kannst du neuaufsetzten, oder es wird mit Combofix versucht. Neuaufsetzten wäre schnelle...Combofix nimmt Zeit in Anspruch Entscheide dich.
__________________ _____________________________________________ „Optimismus ist nur ein Mangel an Information.“ Heiner Müller Sicherheit?->Allgemeine Informationen Der Plural von Virus heisst "Vira"! virus(viri, n.) Substantiv O-Deklination Nom.pl/Akk.pl. |
|
20.08.2009, 12:45
| #21 |
| | services.exe spinnt... Ich nehme Combofix... Neuaufsetzen is mir zu blöd... |
|
20.08.2009, 14:11
| #22 |
| | services.exe spinnt... So, Combofix ausgeführt, dann wird der PC neugestartet. Nachm Neustart steht dort: install.exe muss beendet werden... Dann wird der PC heruntergefahren. ??? Combofix Log: Code:
ATTFilter ComboFix 09-08-19.06 - Felix 20.08.2009 14:54.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1395 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Felix\Desktop\ComboFix.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Felix\Anwendungsdaten\wiaserva.log
c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Temporary Internet Files\lacaq.exe
c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Temporary Internet Files\qyzuk.bin
c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Temporary Internet Files\rebipatute.pif
c:\windows\system32\braviax.exe
c:\windows\system32\wisdstr.exe
Infizierte Kopie von c:\windows\system32\drivers\ntfs.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\ntfs.sys wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2009-07-20 bis 2009-08-20 ))))))))))))))))))))))))))))))
.
2009-08-20 12:23 . 2009-08-20 12:23 18364 ----a-w- c:\windows\system32\tuwys.sys
2009-08-20 12:23 . 2009-08-20 12:23 16505 ----a-w- c:\programme\Gemeinsame Dateien\evehoky.dat
2009-08-20 12:23 . 2009-08-20 12:23 15402 ----a-w- c:\programme\Gemeinsame Dateien\ujotuqot.vbs
2009-08-20 12:23 . 2009-08-20 12:23 14720 ----a-w- c:\windows\kokybepacy.bin
2009-08-20 12:23 . 2009-08-20 12:23 13586 ----a-w- c:\programme\Gemeinsame Dateien\maly.vbs
2009-08-20 12:23 . 2009-08-20 12:23 19274 ----a-w- c:\programme\Gemeinsame Dateien\lutewyt.exe
2009-08-20 12:23 . 2009-08-20 12:23 16068 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\gewifu.sys
2009-08-20 12:23 . 2009-08-20 12:23 13033 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\yhafahy.scr
2009-08-20 12:23 . 2009-08-20 12:23 12070 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\subedixe.sys
2009-08-20 11:56 . 2009-08-20 11:57 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2009-08-19 12:40 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-18 18:48 . 2009-08-18 18:48 -------- d-----w- c:\windows\SxsCaPendDel
2009-08-16 05:58 . 2009-08-16 05:58 26686 ----a-w- c:\windows\system32\msword98.exe
2009-08-16 05:58 . 2009-08-16 05:58 26686 ----a-w- c:\dokumente und einstellungen\Felix\msword98.exe
2009-08-15 18:20 . 2009-08-15 18:20 -------- d-----w- C:\CrashReport
2009-08-15 14:42 . 2008-03-16 12:30 216064 --sh--r- c:\windows\system32\nbDX.dll
2009-08-15 14:42 . 2007-02-21 10:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2009-08-15 14:42 . 2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2009-08-15 14:41 . 2009-08-15 14:41 -------- d-----w- c:\programme\eRightSoft
2009-08-15 14:28 . 2009-08-15 14:28 -------- d-----w- c:\dokumente und einstellungen\Felix\Anwendungsdaten\Malwarebytes
2009-08-15 14:28 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-15 14:28 . 2009-08-15 14:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-15 14:28 . 2009-08-15 14:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-15 14:28 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-15 10:40 . 2009-08-15 10:40 -------- d-----w- c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten\Help
2009-08-15 08:26 . 2009-08-20 12:23 -------- d-----w- c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2009-08-14 16:55 . 2009-08-15 11:12 -------- d-----w- c:\dokumente und einstellungen\Felix\Anwendungsdaten\BitTorrent
2009-08-14 16:54 . 2009-08-14 16:54 -------- d-----w- c:\programme\BitTorrent
2009-08-14 16:54 . 2009-08-14 16:54 -------- d-----w- c:\programme\Ask.com
2009-08-14 12:47 . 2009-08-14 12:47 -------- d-----w- c:\programme\Trend Micro
2009-08-14 11:24 . 2009-08-14 11:24 -------- d-----r- c:\dokumente und einstellungen\Administrator.FELIX-E36528FB6\Eigene Dateien
2009-08-14 11:19 . 2009-08-14 11:19 -------- d-----w- c:\dokumente und einstellungen\Administrator.FELIX-E36528FB6\Lokale Einstellungen\Anwendungsdaten\Symantec
2009-08-14 11:11 . 2009-08-14 11:11 -------- d-----w- c:\dokumente und einstellungen\Administrator.FELIX-E36528FB6\Anwendungsdaten\Windows Search
2009-08-14 10:49 . 2009-08-20 12:21 619584 -c--a-w- c:\windows\system32\dllcache\ntfs.sys
2009-08-14 08:45 . 2009-08-14 08:45 -------- d-----w- c:\programme\Gemeinsame Dateien\PocketSoft
2009-08-14 08:45 . 2002-02-27 15:50 197120 ----a-w- c:\windows\patchw32.dll
2009-08-14 05:25 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-08 11:21 . 2009-08-08 11:21 3262 ----a-r- c:\dokumente und einstellungen\Felix\Anwendungsdaten\Microsoft\Installer\{10209B87-55D6-493E-A30A-12A265AA324E}\_5b0b29e7.exe
2009-07-28 12:35 . 2007-01-03 12:16 40960 ----a-r- c:\windows\system32\psfind.dll
2009-07-24 01:57 . 2009-07-24 01:57 41872 ----a-w- c:\windows\system32\xfcodec.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-20 12:59 . 2009-03-08 13:49 -------- d-----w- c:\dokumente und einstellungen\Felix\Anwendungsdaten\Skype
2009-08-20 12:58 . 2008-10-30 13:32 -------- d-----w- c:\programme\Symantec AntiVirus
2009-08-20 12:23 . 2009-08-20 12:23 18635 ----a-w- c:\programme\Gemeinsame Dateien\ugewoqyn._sy
2009-08-20 12:23 . 2009-08-20 12:23 13261 ----a-w- c:\programme\Gemeinsame Dateien\qikyb.db
2009-08-20 11:41 . 2009-03-08 13:54 -------- d-----w- c:\dokumente und einstellungen\Felix\Anwendungsdaten\skypePM
2009-08-19 16:00 . 2009-06-26 08:53 -------- d-----w- c:\programme\Norton Security Scan
2009-08-19 12:35 . 2008-10-29 20:51 26448 ----a-w- c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-18 18:51 . 2006-02-28 12:00 94322 ----a-w- c:\windows\system32\perfc007.dat
2009-08-18 18:51 . 2006-02-28 12:00 483630 ----a-w- c:\windows\system32\perfh007.dat
2009-08-14 17:37 . 2008-10-29 20:39 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-14 08:49 . 2009-05-10 13:52 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2009-08-14 08:41 . 2008-10-30 16:44 -------- d-----w- c:\dokumente und einstellungen\Felix\Anwendungsdaten\Atari
2009-08-09 07:52 . 2009-06-05 12:54 -------- d-----w- c:\dokumente und einstellungen\Felix\Anwendungsdaten\Xfire
2009-08-05 08:59 . 2006-02-28 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-23 13:57 . 2009-02-17 14:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2009-07-23 13:54 . 2009-06-22 17:20 -------- d-----w- c:\programme\MTA San Andreas
2009-07-20 17:05 . 2009-05-19 17:39 -------- d-----w- c:\dokumente und einstellungen\Felix\Anwendungsdaten\AdobeUM
2009-07-17 19:01 . 2009-07-17 19:01 58880 ----a-w- c:\windows\system32\SET8A.tmp
2009-07-13 21:43 . 2006-02-28 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-10 09:54 . 2009-07-10 09:54 -------- d-----w- c:\dokumente und einstellungen\Felix\Anwendungsdaten\TeamViewer
2009-07-10 09:54 . 2009-07-10 09:54 -------- d-----w- c:\programme\TeamViewer
2009-07-10 06:54 . 2009-02-27 16:25 720896 ----a-w- c:\windows\iun6002ev.exe
2009-07-02 07:28 . 2009-07-02 07:28 -------- d-----w- c:\programme\Teamspeak2_RC2
2009-07-02 07:12 . 2009-07-02 07:12 -------- d-----w- c:\dokumente und einstellungen\Felix\Anwendungsdaten\teamspeak2
2009-06-29 15:55 . 2006-02-28 12:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-06-29 15:55 . 2006-02-28 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2006-02-28 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2009-06-26 08:53 . 2008-10-30 13:32 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-06-24 07:49 . 2009-06-08 16:12 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-06-23 12:00 . 2009-01-28 15:39 -------- d-----w- c:\dokumente und einstellungen\Felix\Anwendungsdaten\Audacity
2009-06-22 14:42 . 2008-12-13 14:53 98304 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-06-16 14:36 . 2006-02-28 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2006-02-28 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2006-02-28 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2006-02-28 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2006-02-28 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2008-10-29 20:19 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2006-02-28 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2006-02-28 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-05-24 22:24 . 2008-05-26 21:18 350208 ------w- c:\windows\system32\mssph.dll
2006-05-03 09:06 . 2009-08-15 14:42 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-08-15 14:42 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-08-15 14:42 216064 --sh--r- c:\windows\system32\nbDX.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-08-20_12.13.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-20 12:58 . 2009-08-20 12:58 16384 c:\windows\Temp\Perflib_Perfdata_75c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2009-07-10 1174920]
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2009-07-10 1174920]
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-12 68856]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-02-04 23975720]
"msword98"="c:\dokumente und einstellungen\Felix\msword98.exe" [2009-08-16 26686]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="c:\programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-11-26 1629480]
"InCD"="c:\programme\Nero\Nero 7\InCD\InCD.exe" [2007-11-26 1057064]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-07-12 48752]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2005-08-19 86112]
"D-Link AirPlus G"="c:\programme\D-Link\AirPlus G\AirGCFG.exe" [2006-11-17 1552384]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2006-06-29 49152]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-23 136600]
"msword98"="c:\windows\system32\msword98.exe" [2009-08-16 26686]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-02-13 16857600]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Felix\Startmen\Programme\Autostart\
ikowin32.exe [2008-4-14 23552]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Ubisoft\\Crytek\\Far Cry\\Bin32\\FarCry.exe"=
"d:\\Programme\\Metin2_Germany\\metin2.bin"=
"d:\\Programme\\Ubisoft\\Crytek\\Far Cry\\Bin32\\Editor.exe"=
"d:\\Programme\\THQ\\Titan Quest\\Titan Quest.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"d:\\Programme\\THQ\\Titan Quest Immortal Throne\\Tqit.exe"=
"d:\\Programme\\Xfire\\Xfire.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"d:\\Programme\\Stormregion\\S.W.I.N.E\\swine.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6969:TCP"= 6969:TCP:Kommunikation mit Tracker
"6881:TCP"= 6881:TCP:Kommunikation mit anderen Clients
"6882:TCP"= 6882:TCP:Kommunikation mit anderen Clients
"6883:TCP"= 6883:TCP:Kommunikation mit anderen Clients
"6884:TCP"= 6884:TCP:Kommunikation mit anderen Clients
"6885:TCP"= 6885:TCP:Kommunikation mit anderen Clients
"6886:TCP"= 6886:TCP:Kommunikation mit anderen Clients
"6887:TCP"= 6887:TCP:Kommunikation mit anderen Clients
"6888:TCP"= 6888:TCP:Kommunikation mit anderen Clients
"6889:TCP"= 6889:TCP:Kommunikation mit anderen Clients
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [29.10.2008 23:12 84992]
S3 SavRoam;SAVRoam;c:\programme\Symantec AntiVirus\SavRoam.exe [19.08.2005 17:57 128608]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - EraserUtilDrv10910
*Deregistered* - EraserUtilRebootDrv
.
Inhalt des "geplante Tasks" Ordners
2009-08-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2009-08-19 c:\windows\Tasks\Norton Security Scan for Felix.job
- c:\programme\Norton Security Scan\Nss.exe [2009-03-13 18:20]
2009-08-20 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2009-07-10 15:29]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-PC Antispyware 2010 - c:\programme\PC_Antispyware2010\PC_Antispyware2010.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
FF - ProfilePath - c:\dokumente und einstellungen\Felix\Anwendungsdaten\Mozilla\Firefox\Profiles\g76twvol.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://supertoolbar.ask.com/redirect?client=ff&src=kw&tb=BT3&o=14979&locale=de_DE&q=
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-20 14:59
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1214440339-838170752-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:83,48,79,2a,b6,b0,17,a3,e0,60,38,3e,01,09,f2,da,1d,17,36,5d,94,18,9b,
71,03,fa,aa,b8,4a,f1,5c,b9,c6,98,4a,ac,6e,be,78,16,a5,6c,a3,4d,14,95,fa,63,\
"??"=hex:a2,67,7b,05,4d,31,fb,2a,2b,ed,0c,6e,3b,68,d2,b3
[HKEY_USERS\S-1-5-21-1214440339-838170752-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:d5,d7,85,a0,ab,f3,46,d5,a0,7b,ae,a6,50,5f,1b,28,2d,4c,1a,94,06,
3d,f2,f4,f6,d3,f8,65,a2,9e,b5,e5,60,1b,ce,b1,2c,62,d0,31,e4,00,35,ab,bd,fb,\
"rkeysecu"=hex:4f,3e,bb,d3,8d,4b,82,fe,d7,56,e8,71,ca,d5,9f,ea
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(768)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(2460)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
c:\programme\Symantec AntiVirus\DefWatch.exe
c:\programme\Nero\Nero 7\InCD\InCDsrv.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Symantec AntiVirus\Rtvscan.exe
c:\windows\system32\searchindexer.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-20 15:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-20 13:01
ComboFix2.txt 2009-08-20 12:15
Vor Suchlauf: 8 Verzeichnis(se), 30.230.990.848 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 30.172.651.520 Bytes frei
275 --- E O F --- 2009-08-18 18:51
|
|
20.08.2009, 15:48
| #23 | |
| /// Helfer-Team  | services.exe spinnt... Das ist ja fast nur noch Malware, diverse Backdoors, Rootkit :aplaus: Zeit für Plan B Zitat:
Eine Woche ist jetzt fast schon rum und in der ging es nur abwärts, soll es ein Monat werden? |
|
20.08.2009, 18:11
| #24 |
| | services.exe spinnt... Ok, sieht mies aus. Bitte noch kurz beide Logs von RSIT.
__________________ _____________________________________________ „Optimismus ist nur ein Mangel an Information.“ Heiner Müller Sicherheit?->Allgemeine Informationen Der Plural von Virus heisst "Vira"! virus(viri, n.) Substantiv O-Deklination Nom.pl/Akk.pl. |
|
20.08.2009, 19:09
| #25 |
| | services.exe spinnt... Okay hier Log von RSIT als Anhang... Was versteht ihr von neuaufsetzen? Meint ihr Festplatte formatieren und Windows neu draufziehn? Wäre eher schlecht, da ich die Windows XP CD verbummelt habe, und erstmal das Haus durchsuchen müsste... Naja, bin recht verzweifelt, Windows spammt in 3 Sekunden "Your computer is infected!", jede 5 min. kommt ne Meldung das Malware auf dem PC ist... Das komische ist, das zusätzlich diese Meldung gelegentlich erscheint:  Komisch?! Das geht mir auf die ... Naja ich hoffe es gibt noch ne Lösung... Scan von Malwarebytes hat sage und schreibe 35 infizierte Dateien ergeben... Na dann Prost Mahlzeit! Geändert von FileX (20.08.2009 um 19:17 Uhr) |
|
20.08.2009, 19:19
| #26 | ||
| | services.exe spinnt... Das Bild ist ein Fake, immer auf Abbrechen klicken oder Prozess über Taskmanager beenden. Zitat:
Zitat:
 Es fehlt noch die info.txt von RSIT. Start => Ausführen => c:\rsit\info.txt => OK ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer.  Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
20.08.2009, 19:22
| #27 |
| | services.exe spinnt... Ups, hab ich vergessen^^ Anhang! |
|
20.08.2009, 19:45
| #28 |
| | services.exe spinnt... 1.) Deinstalliere:
Code:
ATTFilter KILLALL::
Driver::
a522823
gusvc
WSearch
InCDsrv
GMSIPCI
EagleNT
catchme
InCDfs
InCDPass
incdrm
RegLockDel::
[HKLM\SYSTEM\ControlSet001\Services\a522823]
[HKLM\SYSTEM\controlset002\Services\a522823]
Registry::
[-HKLM\SYSTEM\ControlSet001\Services\a522823]
[-HKLM\SYSTEM\controlset002\Services\a522823]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
"Skype"=-
"msword98"=-
"braviax"=-
"ctfmon.exe"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"SecurDisc"=-
"InCD"=-
"RTHDCPL"=-
"SunJavaUpdateSched"=-
"msword98"=-
"braviax"=-
"PromoReg"=-
"17073124"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6969:TCP"=-
"6881:TCP"=-
"6882:TCP"=-
"6883:TCP"=-
"6884:TCP"=-
"6885:TCP"=-
"6886:TCP"=-
"6887:TCP"=-
"6888:TCP"=-
"6889:TCP"=-
Folder::
C:\WINDOWS\Temp
C:\Programme\Ask.com
C:\Programme\BitTorrent
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\BitTorrent
C:\CrashReport
C:\Config.Msi
C:\WINDOWS\SxsCaPendDel
File::
C:\WINDOWS\System32\drivers\a522823.sys
C:\WINDOWS\system32\SET136.tmp
C:\WINDOWS\system32\SET137.tmp
C:\WINDOWS\system32\SET138.tmp
C:\Programme\Gemeinsame Dateien\lutewyt.exe
C:\Programme\Gemeinsame Dateien\maly.vbs
C:\Programme\Gemeinsame Dateien\ujotuqot.vbs
C:\WINDOWS\system32\braviax.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\17073124
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
c:\windows\system32\tuwys.sys
c:\programme\Gemeinsame Dateien\evehoky.dat
c:\programme\Gemeinsame Dateien\ujotuqot.vbs
c:\windows\kokybepacy.bin
c:\programme\Gemeinsame Dateien\maly.vbs
c:\programme\Gemeinsame Dateien\lutewyt.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\gewifu.sys
c:\dokumente und einstellungen\All Users\Anwendungsdaten\yhafahy.scr
c:\dokumente und einstellungen\All Users\Anwendungsdaten\subedixe.sys
c:\windows\system32\msword98.exe
c:\dokumente und einstellungen\Felix\msword98.exe
c:\programme\Gemeinsame Dateien\ugewoqyn._sy
c:\programme\Gemeinsame Dateien\qikyb.db
DirLook::
c:\dokumente und einstellungen\Felix
c:\windows\system32
c:\programme\Gemeinsame Dateien
c:\dokumente und einstellungen\All Users\Anwendungsdaten
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
20.08.2009, 19:47
| #29 |
| | services.exe spinnt... Okay, das werd ich dann morgen gleich machen, wenn ich von der Schule zurück bin... oder vielleicht noch jetzt, mal sehen Das sieht auf jedenfall schonmal wirksam aus =D lg und gn8 |
|
20.08.2009, 19:50
| #30 |
| | services.exe spinnt... Besser sofort. Der Downloader lädt schneller nach als ich löschen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
| Themen zu services.exe spinnt... |
| adobe, antivirus, auf einmal, desktop, einstellungen, fiese, firefox, google, gservice, helper, herunterfahren, hijack, hijackthis, internet, internet explorer, logfile, mozilla, object, pc neustart, problem, sekunden, services.exe, skype.exe, software, spyware, symantec, system, toolbars, virus, windows, windows xp |
Linear-Darstellung
