| |
| |||||||
Log-Analyse und Auswertung: services.exe öffnet dutzende TCP-Verbindungen - Hijack LogWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.08.2010, 15:15
| #1 |
| |  services.exe öffnet dutzende TCP-Verbindungen - Hijack Log Hallo, ich hab mir irgendwas eingefangen...die Datei services.exe öffnet dutzende TCP-Verbindungen, und blockiert so das gesamte Netzwerk  Google brachte mir Hinweise auf diverse Würmer/Malware - ich hab den Rechner nun mit - Avira - Norton Antivirus - Panda - MWAV gescannt, ohne nennenswerten Erfolg. Avira, Norton und Panda fanden überhaupt nichts. Ja, ich habe alle Dateien und Laufwerke durchsuchen lassen. MWAV fand laut Log das folgende: 29 Aug 2010 13:16:39 - Vom Benutzer gewählte Optionen: 29 Aug 2010 13:16:39 - Speicherüberprüfung: Aktiviert 29 Aug 2010 13:16:39 - Überprüfung der Registrierungsdatenbank: Aktiviert 29 Aug 2010 13:16:39 - Überprüfung des Startordners: Aktiviert 29 Aug 2010 13:16:39 - Überprüfung des Systemordners: Aktiviert 29 Aug 2010 13:16:39 - Überprüfung der Dienste: Aktiviert 29 Aug 2010 13:16:39 - Scannen Spyware: Aktiviert 29 Aug 2010 13:16:39 - Option "Überprüfung der Laufwerke" deaktiviert 29 Aug 2010 13:16:39 - Überprüfung der Ordner: Deaktiviert 29 Aug 2010 13:16:39 - SCAN: All_Files 29 Aug 2010 13:16:39 - MWAV Mode: Scan and Clean files (for viruses, adware and spyware) 29 Aug 2010 13:16:39 - ***** Speicherdateien werden gescannt ***** 29 Aug 2010 13:16:54 - ***** Dateien der Registrierungsdatenbank werden gescannt ***** 29 Aug 2010 13:16:58 - ERROR(3)!!! Invalid Entry StubPath = C:\WINXP\system32\WinDir\svchost.exe (in key HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{3U54D0HK-76GN-UB16-7117-XR2M8877K84J}). Action Taken: Removing it. 29 Aug 2010 13:16:58 - ERROR(3)!!! Invalid Entry Policies = C:\WINXP\system32\WinDir\svchost.exe (in key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run). Action Taken: Removing it. 29 Aug 2010 13:16:58 - ERROR(3)!!! Invalid Entry Policies = C:\WINXP\system32\WinDir\svchost.exe (in key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run). Action Taken: Removing it. 29 Aug 2010 13:16:59 - ***** Startordner werden gescannt ***** 29 Aug 2010 13:17:31 - ***** Dateien bezüglich Dienste werden gescannt ***** 29 Aug 2010 13:17:34 - C:\WINXP\system32\Drivers\sptd.sys konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist... 29 Aug 2010 13:17:35 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** 29 Aug 2010 13:17:36 - Signaturen der Spionageprogramme werden aus einer neuen auswärtigen Datenbank geladen [Name: C:\DOKUME~1\DRF704~1.MOR\LOKALE~1\Temp\spydb.avs, Größe: 950519]... 29 Aug 2010 13:17:36 - Indexed Spyware Databases Successfully Created... 29 Aug 2010 13:18:04 - Offending file found: C:\Dokumente und Einstellungen\Dr. Moriarty\Desktop\Virus Removal Tool1\unins000.exe 29 Aug 2010 13:18:04 - System found infected with User Account Control (Fake) Spyware/Adware (unins000.exe)! Action taken: Datei gelöscht. 29 Aug 2010 13:18:04 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 29 Aug 2010 13:18:04 - Offending file found: C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\nsh45.tmp\Banner.dll 29 Aug 2010 13:18:04 - System found infected with ABetterInternet Spyware/Adware (Banner.dll)! Action taken: Datei gelöscht. 29 Aug 2010 13:18:04 - Objekt "ABetterInternet Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 29 Aug 2010 13:18:05 - Offending file found: C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\nsh45.tmp\InstallOptions.dll 29 Aug 2010 13:18:05 - System found infected with Uplink Adware (InstallOptions.dll)! Action taken: Datei gelöscht. 29 Aug 2010 13:18:05 - Objekt "Uplink Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 29 Aug 2010 13:18:05 - Offending file found: C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\nsh45.tmp\KillProcDLL.dll 29 Aug 2010 13:18:05 - System found infected with Uplink Adware (KillProcDLL.dll)! Action taken: Datei gelöscht. 29 Aug 2010 13:18:05 - Objekt "Uplink Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 29 Aug 2010 13:18:06 - Offending file found: C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\nsh45.tmp\services.dll 29 Aug 2010 13:18:06 - System found infected with AntiSpyware Pro XP Corrupted Adware/Spyware (services.dll)! Action taken: Datei gelöscht. 29 Aug 2010 13:18:06 - Objekt "AntiSpyware Pro XP Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht. 29 Aug 2010 13:18:06 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network/UID 29 Aug 2010 13:18:06 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network/UID)! Action taken: Einträge entfernt. 29 Aug 2010 13:18:07 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 29 Aug 2010 13:18:07 - System found infected with Orifice2K.plugin Trojan (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run)! Action taken: Einträge entfernt. 29 Aug 2010 13:18:07 - Objekt "Orifice2K.plugin Trojan" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt. 29 Aug 2010 13:18:07 - ***** Dateien der Registrierungsdatenbank werden gescannt ***** 29 Aug 2010 13:18:07 - Clearing Temporary sub-folders as Spyware/Adware found in system... 29 Aug 2010 13:18:08 - Few files will be deleted *ONLY* on reboot... 29 Aug 2010 13:18:08 - ** Value in HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\main/Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 29 Aug 2010 13:18:08 - ** Value in HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main/Start Page = about:blank 29 Aug 2010 13:18:08 - ***** System32-Ordner werden gescannt ***** 29 Aug 2010 13:19:06 - ScanFile took 6.94 Secs [C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\kl-install-2010-08-20-22-46-51.log]... 29 Aug 2010 13:19:14 - ScanFile took 7.23 Secs [C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\Microsoft .NET Framework 2.0-KB979909_20100828_105133984-Msi0.txt]... 29 Aug 2010 13:19:21 - *****Auf bestimmte ITW-Viren wird geprüft ***** 29 Aug 2010 13:19:21 - ***** Scannen abgeschlossen ***** 29 Aug 2010 13:19:21 - Zahl der gescannten Objekte: 67981 29 Aug 2010 13:19:21 - Zahl der kritischen Objekte: 6 29 Aug 2010 13:19:21 - Zahl der desinfizierten Objekte: 0 29 Aug 2010 13:19:21 - Zahl der umbenannten Objekte: 0 29 Aug 2010 13:19:21 - Zahl der gelöschten Objekte: 6 29 Aug 2010 13:19:21 - Gesamtzahl der Fehler: 3 29 Aug 2010 13:19:21 - Zeit verstrichen: 00:02:41 29 Aug 2010 13:19:21 - Virendatenbankdatum: 29 Aug 2010 29 Aug 2010 13:19:21 - Virendatenbankzähler: 6290554 29 Aug 2010 13:19:21 - Scannen abgeschlossen. Nun ein Hijackthis, hier kommt das Resultat: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 16:09:56, on 29.08.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINXP\system32\Ati2evxx.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Java\jre6\bin\jqs.exe d:\ElsaWin\bin\LcSvrAdm.exe d:\ElsaWin\bin\LcSvrDba.exe d:\ElsaWin\bin\LcSvrHis.exe d:\ElsaWin\bin\LcSvrPas.exe d:\ElsaWin\bin\LcSvrSaz.exe d:\ElsaWin\bin\VSgate.exe C:\WINXP\Explorer.EXE C:\WINXP\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\DYMO\DYMO Label Software\DLSService.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe d:\ElsaWin\bin\LcSvrAuf.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\DOKUME~1\DRF704~1.MOR\LOKALE~1\Temp\mexe.com C:\WINXP\System32\svchost.exe C:\WINXP\System32\svchost.exe c:\programme\avira\antivir desktop\avscan.exe C:\WINXP\system32\dllhost.exe C:\WINXP\system32\dllhost.exe C:\WINXP\System32\vssvc.exe C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [DLSService] "C:\Programme\DYMO\DYMO Label Software\DLSService.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: msnmsngr.ink.lnk = C:\Dokumente und Einstellungen\Dr. Moriarty\Lokale Einstellungen\Temp\DokterWatson.exe O4 - Startup: OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Dr. Moriarty\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: vw-wi - {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - d:\ElsaWin\bin\wiProt.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: ELSA Administration Service (LcSvrAdm) - Volkswagen AG - d:\ElsaWin\bin\LcSvrAdm.exe O23 - Service: ELSA Auftragsverwaltungs Service (LcSvrAuf) - Volkswagen AG - d:\ElsaWin\bin\LcSvrAuf.exe O23 - Service: ELSA DBA Server (LcSvrDba) - Volkswagen AG - d:\ElsaWin\bin\LcSvrDba.exe O23 - Service: ELSA Historie Server (LcSvrHis) - Volkswagen AG - d:\ElsaWin\bin\LcSvrHis.exe O23 - Service: ELSA PASS Server (LcSvrPAS) - Volkswagen AG - d:\ElsaWin\bin\LcSvrPas.exe O23 - Service: ELSA APOSpro Server (LcSvrSaz) - Volkswagen AG - d:\ElsaWin\bin\LcSvrSaz.exe O23 - Service: ELSA Vaudis Service (VSGate) - Volkswagen AG - d:\ElsaWin\bin\VSgate.exe -- End of file - 6893 bytes Die Onlineauswertung zeigte mir spontan nichts wirklich eindeutiges, den Ordner C:\Windows gibts bei mir nicht, er heißt tatsächlich C:\WINXP. Hat jemand eine Idee, wie ich diesen Plagegeist loswerde? Internetnutzung ist faktisch unmöglich, nach 30sek. ist das Netzwerk vollkommen überlastet  Soeben lief "eScan" fertig durch, ebenfalls 0 Ergebnisse  |
| Themen zu services.exe öffnet dutzende TCP-Verbindungen - Hijack Log |
| adobe, adware, antispyware, antivir guard, bho, blockiert, components, converter, dateisystem, desktop, einstellungen, error, fehler, hijack, hijackthis, internet explorer, maßnahme, mp3, netzwerk, plug-in, registrierungsdatenbank, registry, server, services.exe, software, sptd.sys, spyware, svchost.exe, trojan, windows, windows xp |
Baum-Darstellung