Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: services.exe spinnt...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.08.2009, 12:53   #1
FileX
 
services.exe spinnt... - Standard

services.exe spinnt...



Hi,

als ich heute im Internet gesurft bin, schrie Windows auf einmal : "Auf ihrem PC wurde Spyware entdeckt", gleich darauf kamen etliche Virenmeldungen.
Ich habe aus Angst nen PC Neustart gemacht und die Verbindung zum Internet getrennt, damit nicht noch mehr Viren reinkommen. Nachm Neustart kam dann die tolle Meldung:

services.exe hat ein Problem festgestellt und muss beendet werden. Darauf kam dann eine Meldung, das der PC in 60 Sekunden herunterfährt/neustartet...

Deshalb suche ich jetzt mit dem Rechner von meiner Mutter hier in diesem Forum Hilfe... Ich habe leider keine Ahnung wie man bei solchen Viren vorgeht, weil ich bis jetzt noch nicht solch einen fiesen Virus hatte!

Kann ich da igendwas machen? Die anderen Threads haben mir nicht weitergeholfen. Kann ich dieses "In 60 Sekunden herunterfahren" irgendwie unterbrechen und dann etwas unternehmen?

Der eine Virus heißt: Packed.Generic 233 (davon cirka 10 Stück)
der andere Hacktool.Rootkit (davon 6, immer im 2-er Pack aber alle gelöscht)

Komischerweise kommt jetzt keine Fehermeldung mehr. Ich versuche es mal MIT Internet...

€: Sobald ich meinen PC mit dem Internet verbinde, kommen weitere Viren rein... wieder nur die 2 verschiedenen Viren. Diese werden aber sofort gelöscht... (keine Fehlermeldungen)

Also ich freue mich auf eine Lösung/Antworten, damit ich am Wochenende odentlich zocken kann

_______________________________________________________

Ich habe hier mal die HJT Logfile, falls das weiterhilft?!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:47:21, on 14.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\msword98.exe
C:\WINDOWS\system32\msword98.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Dokumente und Einstellungen\Felix\msword98.exe
C:\Dokumente und Einstellungen\Felix\msword98.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [msword98] C:\WINDOWS\system32\msword98.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msword98] C:\Dokumente und Einstellungen\Felix\msword98.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [braviax] (User 'Default user')
O4 - Startup: ikowin32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

--
End of file - 7835 bytes

Geändert von FileX (14.08.2009 um 13:50 Uhr)

Alt 14.08.2009, 13:49   #2
4RobSen8
 
services.exe spinnt... - Standard

services.exe spinnt...



Hallo... und

Hört sich niht wirklich gut an.

Bitte überprüfe mal die genannte Dateien "services.exe",bei Virustotal.

__________________

__________________

Alt 14.08.2009, 14:39   #3
KarlKarl
/// Helfer-Team
 
services.exe spinnt... - Standard

services.exe spinnt...



Hi,

ich möchte die Aufmerksamkeit auch noch auf die Dateien richten:
  • C:\WINDOWS\system32\msword98.exe
  • C:\Dokumente und Einstellungen\Felix\msword98.exe
  • ikowin32.exe (die musst Du suchen, vermutlich in C:\Windows oder C:\Windows\system32)
Auch online scannen lassen.

Karl
__________________

Alt 14.08.2009, 14:52   #4
FileX
 
services.exe spinnt... - Standard

services.exe spinnt...



Danke für die Antworten... soll ich die Analysen der online gescannten Dateien hier posten?

Alt 14.08.2009, 14:54   #5
Larusso
/// Selecta Jahrusso
 
services.exe spinnt... - Standard

services.exe spinnt...



Bitte alle Analysen komplett posten und nicht selbständig entfernen wenn diese als Malware erkannt werden

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 14.08.2009, 14:56   #6
FileX
 
services.exe spinnt... - Standard

services.exe spinnt...



Reicht ein Link zur Analyse? Sorry für die blöden Fragen aber besser als etwas falsch zu machen =D

Alt 14.08.2009, 14:57   #7
Larusso
/// Selecta Jahrusso
 
services.exe spinnt... - Standard

services.exe spinnt...



Es wäre besser wenn Du den ganzen Text kopierst und hier postest
Es gibt keine dummen Fragen, nur dumme Antworten
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 14.08.2009, 15:03   #8
FileX
 
services.exe spinnt... - Standard

services.exe spinnt...



Hier mal die services.exe

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	5.0.0.2	2009.08.14	-
AntiVir	7.9.1.1	2009.08.14	-
Avast	4.8.1335.0	2009.08.14	-
AVG	8.5.0.406	2009.08.14	-
BitDefender	7.2	2009.08.14	-
DrWeb	5.0.0.12182	2009.08.14	-
eSafe	7.0.17.0	2009.08.13	-
F-Secure	8.0.14470.0	2009.08.14	-
GData	19	2009.08.14	-
Jiangmin	11.0.800	2009.08.14	-
K7AntiVirus	7.10.819	2009.08.14	-
Kaspersky	7.0.0.125	2009.08.14	-
McAfee+Artemis	5708	2009.08.13	-
McAfee-GW-Edition	6.8.5	2009.08.14	Heuristic.BehavesLike.Win32.Spyware.H
Microsoft	1.4903	2009.08.14	-
NOD32	4335	2009.08.14	-
nProtect	2009.1.8.0	2009.08.14	-
Panda	10.0.0.14	2009.08.14	-
PCTools	4.4.2.0	2009.08.12	-
Rising	21.42.44.00	2009.08.14	-
Sophos	4.44.0	2009.08.14	-
Sunbelt	3.2.1858.2	2009.08.13	-
Symantec	1.4.4.12	2009.08.14	-
VBA32	3.12.10.9	2009.08.13	-
ViRobot	2009.8.14.1885	2009.08.14	-
VirusBuster	4.6.5.0	2009.08.13	-
weitere Informationen
File size: 111104 bytes
MD5...: a3edbe9053889fb24ab22492472b39dc
SHA1..: 7153d4d113c47379fb57aad4918a2f2a64f0c9ee
SHA256: 6f2ed6e04bde2fca2a8bf9bd2d1d6923de6eaecb46f582b6c0bd1cf364d65c9e
ssdeep: 1536:HAj12id0hKy+k1DQ+7Gpj3r4M7TGfwG1K9IJvydlnk4pCxvmA:HAG1DQgGp
j3Cf1K9IBydlk+cvmA
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xbf63
timedatestamp.....: 0x498c1ac8 (Fri Feb 06 11:11:04 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x196a5 0x19800 6.23 bf32e1a6f4363e9fffea31d970bdebf2
.data 0x1b000 0xa38 0xc00 1.78 817a9a6979796d656eb64e994df5db0a
.rsrc 0x1c000 0x850 0xa00 3.86 5ecabec1284399883afe76f8a296e48c

( 10 imports )
> ADVAPI32.dll: AllocateLocallyUniqueId, RegOpenKeyW, ConvertSidToStringSidW, AllocateAndInitializeSid, FreeSid, LogonUserExW, LsaStorePrivateData, LsaLookupNames, AddAccessAllowedAce, SetTokenInformation, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, SystemFunction029, SystemFunction005, CheckTokenMembership, LsaQueryInformationPolicy, OpenThreadToken, RegNotifyChangeKeyValue, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, GetSecurityDescriptorDacl, GetLengthSid, CopySid, InitializeAcl, AddAce, SetSecurityDescriptorDacl, LsaOpenPolicy, LsaLookupSids, LsaFreeMemory, LsaClose, GetTokenInformation, RegCloseKey, RegQueryValueExW, RegOpenKeyExW, InitiateSystemShutdownW, RevertToSelf, CreateProcessAsUserW, ImpersonateLoggedOnUser
> KERNEL32.dll: GetCurrentThread, CreateMutexW, ReleaseMutex, ExitThread, FormatMessageW, lstrcmpiW, SetProcessShutdownParameters, DelayLoadFailureHook, RaiseException, GetExitCodeThread, SetConsoleCtrlHandler, SetErrorMode, SetUnhandledExceptionFilter, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcess, UnhandledExceptionFilter, GetModuleHandleA, OpenEventW, LocalAlloc, LocalFree, Sleep, LeaveCriticalSection, EnterCriticalSection, SetLastError, CloseHandle, CreateThread, GetLastError, CreateProcessW, ExpandEnvironmentStringsW, InitializeCriticalSection, HeapAlloc, HeapFree, TerminateProcess, WaitForSingleObject, HeapCreate, FreeLibrary, GetProcAddress, GetModuleHandleExW, InterlockedCompareExchange, CreateNamedPipeW, ReadFile, CancelIo, GetOverlappedResult, WaitForMultipleObjects, ConnectNamedPipe, TransactNamedPipe, WriteFile, GetTickCount, GetSystemTimeAsFileTime, GetModuleHandleW, GetComputerNameW, CreateEventW, SetEvent, ResetEvent, DeviceIoControl, CreateFileW, ResumeThread, GetCurrentProcessId, LoadLibraryW, GetDriveTypeW
> msvcrt.dll: _itow, wcsrchr, time, _except_handler3, memmove, wcschr, _c_exit, _exit, wcsncmp, _XcptFilter, _cexit, exit, _wcsnicmp, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, _wtol, wcscpy, wcscat, wcsncpy, _wcsicmp, __initenv, wcslen, wcscspn, _ultow
> NCObjAPI.DLL: WmiCreateObjectWithFormat, WmiEventSourceConnect, WmiSetAndCommitObject
> ntdll.dll: RtlCreateSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateAcl, NtCreateKey, NtQueryValueKey, NtSetValueKey, NtDeleteValueKey, NtEnumerateKey, NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, NtDeleteKey, RtlSetControlSecurityDescriptor, RtlValidSecurityDescriptor, RtlLengthSecurityDescriptor, NtPrivilegeObjectAuditAlarm, NtPrivilegeCheck, NtOpenThreadToken, NtAccessCheckAndAuditAlarm, NtSetInformationThread, NtAdjustPrivilegesToken, NtDuplicateToken, NtOpenProcessToken, RtlSetDaclSecurityDescriptor, RtlQuerySecurityObject, RtlSetSecurityObject, RtlValidRelativeSecurityDescriptor, RtlMapGenericMask, RtlCopyUnicodeString, NtSetInformationFile, NtQueryInformationFile, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, NtWaitForSingleObject, NtQueryDirectoryFile, NtDeleteFile, NtSetInformationProcess, RtlUnhandledExceptionFilter, NtSetEvent, RtlGetAce, RtlQueryInformationAcl, RtlGetDaclSecurityDescriptor, RtlAllocateHeap, RtlConvertSharedToExclusive, RtlConvertExclusiveToShared, RtlRegisterWait, RtlGetNtProductType, RtlEqualUnicodeString, RtlLengthSid, RtlCopySid, NtOpenDirectoryObject, NtQueryDirectoryObject, RtlUnicodeStringToAnsiString, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlNewSecurityObject, RtlAddAce, RtlSetOwnerSecurityDescriptor, RtlSetGroupSecurityDescriptor, RtlSetSaclSecurityDescriptor, RtlSubAuthorityCountSid, RtlCompareUnicodeString, NtLoadDriver, NtUnloadDriver, RtlExpandEnvironmentStrings_U, RtlAdjustPrivilege, NtFlushKey, NtOpenFile, RtlDosPathNameToNtPathName_U, NtOpenSymbolicLinkObject, NtQuerySymbolicLinkObject, RtlFreeUnicodeString, RtlAreAllAccessesGranted, NtDeleteObjectAuditAlarm, NtCloseObjectAuditAlarm, RtlQueueWorkItem, RtlCopyLuid, RtlDeregisterWait, RtlReleaseResource, RtlAcquireResourceExclusive, RtlAcquireResourceShared, RtlInitializeResource, RtlDeleteSecurityObject, RtlLockBootStatusData, RtlGetSetBootStatusData, RtlUnlockBootStatusData, NtInitializeRegistry, NtQueryKey, NtClose, RtlInitUnicodeString, NtSetSystemEnvironmentValue, RtlNtStatusToDosError, NtShutdownSystem, NtQueryInformationToken, RtlMakeSelfRelativeSD, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtSetSecurityObject
> RPCRT4.dll: RpcServerRegisterAuthInfoW, RpcBindingFree, RpcEpResolveBinding, RpcBindingFromStringBindingW, RpcStringBindingComposeW, NdrClientCall2, RpcAsyncCompleteCall, RpcAsyncInitializeHandle, NdrAsyncServerCall, RpcServerListen, RpcMgmtStopServerListening, RpcMgmtWaitServerListen, RpcServerUnregisterIf, NdrAsyncClientCall, NdrServerCall2, I_RpcBindingIsClientLocal, RpcRevertToSelf, I_RpcMapWin32Status, RpcImpersonateClient, RpcStringBindingParseW, RpcStringFreeW, RpcBindingToStringBindingW, RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcServerRegisterIf
> SCESRV.dll: ScesrvInitializeServer, ScesrvTerminateServer
> umpnpmgr.dll: RegisterScmCallback, PNP_SetActiveService, PNP_GetDeviceRegProp, PNP_GetDeviceListSize, PNP_GetDeviceList, PNP_HwProfFlags, RegisterServiceNotification, DeleteServicePlugPlayRegKeys
> USER32.dll: LoadStringW, wsprintfW, BroadcastSystemMessageW, MessageBoxW, RegisterServicesProcess
> USERENV.dll: UnloadUserProfile, CreateEnvironmentBlock, LoadUserProfileW, DestroyEnvironmentBlock

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
         

Alt 14.08.2009, 15:07   #9
FileX
 
services.exe spinnt... - Standard

services.exe spinnt...



die msword98.exe (sieht böse aus ^^) aus system32

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.24	2009.08.14	-
AhnLab-V3	5.0.0.2	2009.08.14	Win-Trojan/Mutant.27004
AntiVir	7.9.1.1	2009.08.14	-
Antiy-AVL	2.0.3.7	2009.08.14	-
Authentium	5.1.2.4	2009.08.13	-
Avast	4.8.1335.0	2009.08.14	-
AVG	8.5.0.406	2009.08.14	Win32/Heur
BitDefender	7.2	2009.08.14	-
CAT-QuickHeal	10.00	2009.08.13	-
ClamAV	0.94.1	2009.08.14	-
Comodo	1976	2009.08.14	-
DrWeb	5.0.0.12182	2009.08.14	Trojan.DownLoad.41506
eSafe	7.0.17.0	2009.08.13	-
eTrust-Vet	31.6.6677	2009.08.14	-
F-Prot	4.4.4.56	2009.08.13	-
F-Secure	8.0.14470.0	2009.08.14	-
Fortinet	3.120.0.0	2009.08.14	-
GData	19	2009.08.14	-
Ikarus	T3.1.1.64.0	2009.08.14	-
Jiangmin	11.0.800	2009.08.14	-
K7AntiVirus	7.10.819	2009.08.14	-
Kaspersky	7.0.0.125	2009.08.14	Trojan-Downloader.Win32.Mutant.efi
McAfee	5708	2009.08.13	-
McAfee+Artemis	5708	2009.08.13	Artemis!D2D72D9BD11E
McAfee-GW-Edition	6.8.5	2009.08.14	-
Microsoft	1.4903	2009.08.14	TrojanDownloader:Win32/Cutwail.AQ
NOD32	4335	2009.08.14	a variant of Win32/Wigon.LW
Norman	6.01.09	2009.08.14	-
nProtect	2009.1.8.0	2009.08.14	-
Panda	10.0.0.14	2009.08.14	Suspicious file
PCTools	4.4.2.0	2009.08.12	-
Prevx	3.0	2009.08.14	-
Rising	21.42.44.00	2009.08.14	-
Sophos	4.44.0	2009.08.14	-
Sunbelt	3.2.1858.2	2009.08.13	-
Symantec	1.4.4.12	2009.08.14	-
TheHacker	6.3.4.3.383	2009.08.13	-
TrendMicro	8.950.0.1094	2009.08.14	-
VBA32	3.12.10.9	2009.08.13	-
ViRobot	2009.8.14.1885	2009.08.14	-
VirusBuster	4.6.5.0	2009.08.13	-
weitere Informationen
File size: 27004 bytes
MD5...: d2d72d9bd11e2c5fc66dc35bbdc486a7
SHA1..: de83e366838157489c5e64828d447e602771fb00
SHA256: e0b3082f5adfec4fd82edc9a23cfb6cf6417cff5f77f60d660a0220fab6b4ce2
ssdeep: 384:nwO4Pl/f514D7NgaCzLNAyYbgRT3ksEsxv9vg7bYSGtVTGfZsJbYTRY5ebQJ
AWsU:nwzX74D7N/01D9IhGtVTGxsJeRY5UWx
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x346
timedatestamp.....: 0x4a842ae6 (Thu Aug 13 15:01:58 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x150 0x200 4.38 6f3b806ed628a05169a784585568582f
.rdata 0x500 0x94 0x100 2.41 745b981e015d0fa0960d5deda9a2b87e
.data 0x600 0x15 0x100 0.40 b6ade0e4e85f66b387cdaacfa22c6483
.rsrc 0x700 0x3a0 0x400 3.14 0ee8f2af8d9ff644f30bba9b271475b4
.aaaa 0xb00 0x5f00 0x5f00 7.68 ab5765bc4c9c900902b73273e965a422

( 1 imports )
> kernel32.dll: ExitProcess, GetModuleHandleA, VirtualAlloc

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
         

Alt 14.08.2009, 15:12   #10
FileX
 
services.exe spinnt... - Standard

services.exe spinnt...



Hier die msword98.exe aus Dokumente und Einstellungen...

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.24	2009.08.14	-
AhnLab-V3	5.0.0.2	2009.08.14	Win-Trojan/Mutant.27004
AntiVir	7.9.1.1	2009.08.14	-
Antiy-AVL	2.0.3.7	2009.08.14	-
Authentium	5.1.2.4	2009.08.13	-
Avast	4.8.1335.0	2009.08.14	-
BitDefender	7.2	2009.08.14	-
CAT-QuickHeal	10.00	2009.08.13	-
ClamAV	0.94.1	2009.08.14	-
Comodo	1976	2009.08.14	-
DrWeb	5.0.0.12182	2009.08.14	Trojan.DownLoad.41506
eSafe	7.0.17.0	2009.08.13	-
eTrust-Vet	31.6.6677	2009.08.14	-
F-Prot	4.4.4.56	2009.08.13	-
F-Secure	8.0.14470.0	2009.08.14	-
Fortinet	3.120.0.0	2009.08.14	-
GData	19	2009.08.14	-
Ikarus	T3.1.1.64.0	2009.08.14	-
Jiangmin	11.0.800	2009.08.14	-
K7AntiVirus	7.10.819	2009.08.14	-
Kaspersky	7.0.0.125	2009.08.14	Trojan-Downloader.Win32.Mutant.efi
McAfee	5708	2009.08.13	-
McAfee+Artemis	5708	2009.08.13	Artemis!D2D72D9BD11E
McAfee-GW-Edition	6.8.5	2009.08.14	-
NOD32	4335	2009.08.14	a variant of Win32/Wigon.LW
nProtect	2009.1.8.0	2009.08.14	-
Panda	10.0.0.14	2009.08.14	Suspicious file
PCTools	4.4.2.0	2009.08.12	-
Prevx	3.0	2009.08.14	-
Rising	21.42.44.00	2009.08.14	-
Sophos	4.44.0	2009.08.14	-
Sunbelt	3.2.1858.2	2009.08.13	-
Symantec	1.4.4.12	2009.08.14	-
TheHacker	6.3.4.3.383	2009.08.13	-
TrendMicro	8.950.0.1094	2009.08.14	-
VBA32	3.12.10.9	2009.08.13	-
ViRobot	2009.8.14.1885	2009.08.14	-
VirusBuster	4.6.5.0	2009.08.13	-
weitere Informationen
File size: 27004 bytes
MD5...: d2d72d9bd11e2c5fc66dc35bbdc486a7
SHA1..: de83e366838157489c5e64828d447e602771fb00
SHA256: e0b3082f5adfec4fd82edc9a23cfb6cf6417cff5f77f60d660a0220fab6b4ce2
ssdeep: 384:nwO4Pl/f514D7NgaCzLNAyYbgRT3ksEsxv9vg7bYSGtVTGfZsJbYTRY5ebQJ
AWsU:nwzX74D7N/01D9IhGtVTGxsJeRY5UWx
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x346
timedatestamp.....: 0x4a842ae6 (Thu Aug 13 15:01:58 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x150 0x200 4.38 6f3b806ed628a05169a784585568582f
.rdata 0x500 0x94 0x100 2.41 745b981e015d0fa0960d5deda9a2b87e
.data 0x600 0x15 0x100 0.40 b6ade0e4e85f66b387cdaacfa22c6483
.rsrc 0x700 0x3a0 0x400 3.14 0ee8f2af8d9ff644f30bba9b271475b4
.aaaa 0xb00 0x5f00 0x5f00 7.68 ab5765bc4c9c900902b73273e965a422

( 1 imports )
> kernel32.dll: ExitProcess, GetModuleHandleA, VirtualAlloc

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
         

Alt 14.08.2009, 15:15   #11
FileX
 
services.exe spinnt... - Standard

services.exe spinnt...



Und hier die letzte Datei, ikowin32.exe ...

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.24	2009.08.14	-
AhnLab-V3	5.0.0.2	2009.08.14	-
AntiVir	7.9.1.1	2009.08.14	-
Antiy-AVL	2.0.3.7	2009.08.14	-
Authentium	5.1.2.4	2009.08.13	-
Avast	4.8.1335.0	2009.08.14	-
AVG	8.5.0.406	2009.08.14	-
BitDefender	7.2	2009.08.14	-
CAT-QuickHeal	10.00	2009.08.13	-
ClamAV	0.94.1	2009.08.14	-
Comodo	1976	2009.08.14	-
DrWeb	5.0.0.12182	2009.08.14	Trojan.Botnetlog.11
eSafe	7.0.17.0	2009.08.13	Suspicious File
eTrust-Vet	31.6.6677	2009.08.14	-
F-Prot	4.4.4.56	2009.08.13	-
F-Secure	8.0.14470.0	2009.08.14	-
Fortinet	3.120.0.0	2009.08.14	-
GData	19	2009.08.14	-
Ikarus	T3.1.1.64.0	2009.08.14	-
Jiangmin	11.0.800	2009.08.14	-
K7AntiVirus	7.10.819	2009.08.14	-
Kaspersky	7.0.0.125	2009.08.14	-
McAfee	5708	2009.08.13	-
McAfee+Artemis	5708	2009.08.13	-
McAfee-GW-Edition	6.8.5	2009.08.14	-
Microsoft	1.4903	2009.08.14	-
NOD32	4335	2009.08.14	-
Norman	6.01.09	2009.08.14	-
nProtect	2009.1.8.0	2009.08.14	-
Panda	10.0.0.14	2009.08.14	-
PCTools	4.4.2.0	2009.08.12	-
Prevx	3.0	2009.08.14	Medium Risk Malware
Rising	21.42.44.00	2009.08.14	-
Sophos	4.44.0	2009.08.14	-
Sunbelt	3.2.1858.2	2009.08.13	-
Symantec	1.4.4.12	2009.08.14	-
TheHacker	6.3.4.3.383	2009.08.13	-
TrendMicro	8.950.0.1094	2009.08.14	-
VBA32	3.12.10.9	2009.08.13	-
ViRobot	2009.8.14.1885	2009.08.14	-
VirusBuster	4.6.5.0	2009.08.14	-
weitere Informationen
File size: 23552 bytes
MD5...: 1ed3eaea8c5b9c16cd7fb64ec062a163
SHA1..: cd373671bda08c03ce100daade7f2844a72bbec9
SHA256: ae3ea9c1ff8455045135bbe35dd458429a464a3a963922c26a8c829de7d03968
ssdeep: 384:ImtlrLfOsXQpSXIhUsdEel7ylquO8koUDxWWdFZb2wef97c8n8LR3W2s:F3P
pQp3WsPNuFS/iV70y
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3ee3
timedatestamp.....: 0x47d4603f (Sun Mar 09 22:10:07 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x31e3 0x3200 7.36 032569ac331c15267bdc48463edca924
.rdata 0x5000 0x18b0 0x1a00 6.63 2f0d7c00d36becef7369bc1e2d5111cc
.data 0x7000 0x77d0 0x600 5.84 0a3f3e7c2a8d6e6a15721ff1e21f093d
.rsrc 0xf000 0x4a0 0x600 2.74 e8b477704dc46782aa631b647bd17934

( 2 imports )
> MSVCRT.dll: __3@YAXPAX@Z, _stricmp, _acmdln, __mb_cur_max, strchr, malloc, __getmainargs, printf, free, __wgetmainargs, fopen, __p__commode, _strnicmp, _pctype, _initterm, memmove, __winitenv, fputs, strncmp, toupper, realloc, __setusermatherr, atoi
> KERNEL32.dll: GetTickCount, GetSystemTimeAsFileTime, InterlockedIncrement, InterlockedExchange, GetLastError, GetCurrentProcess, GetProcessHeap, GetStartupInfoA, InterlockedDecrement, GetThreadLocale, HeapCreate

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=1E4A0F19003E92E55C6900D8FAF53600FD6F0AC8' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=1E4A0F19003E92E55C6900D8FAF53600FD6F0AC8</a>
         
Freue mich wieder auf Antworten =)

Alt 14.08.2009, 15:27   #12
4RobSen8
 
services.exe spinnt... - Standard

services.exe spinnt...



@KarlKarl
Also entweder ich bin nüchtern besoffen, oder der Logfile war da eben nicht.
Ich kann den doch nicht übersehen habe^^
__________________
_____________________________________________
„Optimismus ist nur ein Mangel an Information.“
Heiner Müller

Sicherheit?->Allgemeine Informationen

Der Plural von Virus heisst "Vira"!
virus(viri, n.) Substantiv O-Deklination Nom.pl/Akk.pl.

Alt 14.08.2009, 16:27   #13
4RobSen8
 
services.exe spinnt... - Standard

services.exe spinnt...



Lade bittedie Dateien im internen Uploadchannel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

...ausser servies.exe
__________________
_____________________________________________
„Optimismus ist nur ein Mangel an Information.“
Heiner Müller

Sicherheit?->Allgemeine Informationen

Der Plural von Virus heisst "Vira"!
virus(viri, n.) Substantiv O-Deklination Nom.pl/Akk.pl.

Alt 14.08.2009, 17:09   #14
FileX
 
services.exe spinnt... - Standard

services.exe spinnt...



Habe ich gemacht, und jetzt? Wo sind die Dateien jetzt?

Alt 15.08.2009, 08:38   #15
FileX
 
services.exe spinnt... - Standard

services.exe spinnt...



Hallo? Was soll ich jetzt mit den Dateien machen? Ich werd echt verrückt, jedes mal wenn ich online gehe kommen erstmal 3 Packete packed.generic 233 rein...

Ich bitte jetzt um eine Antwort^^

Antwort

Themen zu services.exe spinnt...
adobe, antivirus, auf einmal, desktop, einstellungen, fiese, firefox, google, gservice, helper, herunterfahren, hijack, hijackthis, internet, internet explorer, logfile, mozilla, object, pc neustart, problem, sekunden, services.exe, skype.exe, software, spyware, symantec, system, toolbars, virus, windows, windows xp




Ähnliche Themen: services.exe spinnt...


  1. SandBoxie spinnt - Firefox in der SandBoxie spinnt; DefaultBox lässt sich nicht löschen
    Antiviren-, Firewall- und andere Schutzprogramme - 03.02.2014 (6)
  2. W32/Patched.UA in services.exe
    Log-Analyse und Auswertung - 27.08.2012 (3)
  3. Services.exe
    Plagegeister aller Art und deren Bekämpfung - 03.11.2010 (1)
  4. Problem mit services.exe
    Log-Analyse und Auswertung - 29.09.2009 (16)
  5. services.exe
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (8)
  6. !!! PROBLEME mit SERVICES.EXE !!!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2007 (12)
  7. Services.exe 100% CPU-Auslastung
    Log-Analyse und Auswertung - 07.11.2007 (2)
  8. 30% vom cpu weg wegen services.exe
    Mülltonne - 29.09.2007 (0)
  9. services.exe need help
    Log-Analyse und Auswertung - 20.07.2007 (5)
  10. neu? services.exe
    Plagegeister aller Art und deren Bekämpfung - 30.12.2006 (1)
  11. services.exe/statuscode 203
    Plagegeister aller Art und deren Bekämpfung - 27.12.2006 (3)
  12. Services.exe Problem
    Log-Analyse und Auswertung - 03.08.2006 (8)
  13. services.exe -s
    Plagegeister aller Art und deren Bekämpfung - 22.05.2006 (4)
  14. Services.exe ?
    Log-Analyse und Auswertung - 04.12.2005 (11)
  15. services.exe
    Plagegeister aller Art und deren Bekämpfung - 09.08.2005 (1)
  16. I-net spinnt, Comp spinnt = Trojan.Lowzones + Trojan.KillAV
    Plagegeister aller Art und deren Bekämpfung - 13.07.2005 (11)
  17. services.exe PROBLEM!!!!
    Plagegeister aller Art und deren Bekämpfung - 07.05.2005 (2)

Zum Thema services.exe spinnt... - Hi, als ich heute im Internet gesurft bin, schrie Windows auf einmal : "Auf ihrem PC wurde Spyware entdeckt", gleich darauf kamen etliche Virenmeldungen. Ich habe aus Angst nen PC - services.exe spinnt......
Archiv
Du betrachtest: services.exe spinnt... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.