Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: services.exe-Trojaner?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.11.2004, 16:54   #1
Calavera_SZ
 
services.exe-Trojaner? - Standard

services.exe-Trojaner?



Hallo zusammen,

bin ein wenig verzweifelt - habe mir offensichtlich 'nen Trojaner eingefangen. Auf Laufwerk C taucht nun plötzlich eine Datei namens C:\services.exe (direkt auf C:\ und nicht etwa C:\WINDOWS\system32\services.exe). Wenn ich mit Outlook e-Mails abrufen möchte bekomme ich eine Abfrage nach 'nem Netzwerk-Kennwort... Ist doch nicht normal, oder?

Habe bereits diverse Foren durchsucht und hier und da auch 'n paar Tipps (inkl. removal tools) gefunden und darüber hinaus Online-Viren-Check mit Kaspersky machen lassen - leider alles ohne Erfolg. Habe Ad-Aware & Spy Bot laufen lassen - nix :-( Ich also los und AntiViren Kit (AVK)InternetSecurity 2005 von G-Data eingekauft - der Basis-Check von der bootfähigen CD findet auch das ein oder andere, bricht aber leider nach 40 Minuten an immer derselben Stelle (wmplayer.exe) ab. Und das ganze zu installieren solange der Trojaner noch drauf ist, macht wohl keinen Sinn (so jedenfalls G-Data).

Anbei noch das aktuellste Log-File von HijackThis – vielleicht steckt der Teufel ja im detail?!

Logfile of HijackThis v1.98.1
Scan saved at 16:48:16, on 18.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\SIEMEN~1\SDS\SPHONE~2.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Works\WkDStore.exe
C:\Programme Archiv\Anti-Spy Tools\HijackThis1981.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\System32\mspd.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O19 - User stylesheet: (file missing)

Wäre schön, wenn jemand Rat weiss… Vielen Dank

Alt 18.11.2004, 17:10   #2
Shadowdance
 
services.exe-Trojaner? - Standard

services.exe-Trojaner?



Hallo Calavera_SZ,

lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ca 1-2 Stunden dauert und ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD
__________________


Alt 18.11.2004, 19:54   #3
Calavera_SZ
 
services.exe-Trojaner? - Standard

services.exe-Trojaner?



So, danke für den Tipp: gesagt - getan!

Hier das Ergebnis von eScan. Es scheinen zwar "nur" 4 verschiedene böse Dateien zu sein aber ich poste mal alle Dateien, die infiziert zu sein scheinen...

1. File C:\WINDOWS\System32\cxxtfw.73o infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
2. File C:\WINDOWS\System32\drzrtc.w63 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
3. File C:\WINDOWS\System32\elvnew.374 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
4. File C:\WINDOWS\System32\frrfig.6fe infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
5. File C:\WINDOWS\System32\igxxrg.g29 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
6. File C:\WINDOWS\System32\iibgct.78y infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
7. File C:\WINDOWS\System32\mabavs.013 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
8. File C:\WINDOWS\System32\mjezln.85f infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
9. File C:\WINDOWS\System32\mnevqf.e8r infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
10. File C:\WINDOWS\System32\obhasd.th3 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
11. File C:\WINDOWS\System32\oukxhu.wne infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
12. File C:\WINDOWS\System32\ozhmua.v76 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
13. File C:\WINDOWS\System32\qgxakh.897 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
14. File C:\WINDOWS\System32\uzyrmf.2r4 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
15. File C:\WINDOWS\System32\yvsgkr.3o9 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.

16. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP29\A0014454.exe infected by "Backdoor.HacDef.e" Virus. Action Taken: No Action Taken.

17. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP29\A0014455.exe infected by "TrojanDownloader.Win32.Small.ix" Virus. Action Taken: No Action Taken.

18. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP29\A0014456.exe infected by "Backdoor.HacDef.e" Virus. Action Taken: No Action Taken.

Könnt ihr damit was anfangen??
__________________

Alt 18.11.2004, 20:42   #4
Shadowdance
 
services.exe-Trojaner? - Standard

services.exe-Trojaner?



Hallo Calavera_SZ,

Zitat:
16. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP29\A0014454.exe infected by "Backdoor.HacDef.e" Virus. Action Taken: No Action Taken.
Information zu Backdoor.HacDef.e->"Erläuterung" und ->"Erweitert" beachten.

Ich gehe von der Voraussetzung aus, dass dieser Backdoor bereits einigen Schaden auf Deinem System angerichtet hat und empfehle Dir daher Deine Festplatte zu formatieren - Schritt für Schritt. Würmer mit Backdoor-Eigenschaften hinterlassen Schlüssel in der Registry und Code auf dem System. Sie erlauben Dritten uneingeschränkten Zugriff auf das System des betroffenen Rechners.

Vergleiche hierzu auch Entfernung von Schädlingen und Kompromittierung unvermeidbar? - mit Dank an @ Yopie.

Bitte beachte Lutz: Datensicherung und Cidre's Rat.

SD

Alt 18.11.2004, 20:52   #5
Yopie
Moderator, a.D.
 
services.exe-Trojaner? - Standard

services.exe-Trojaner?



Zitat:
Zitat von Shadowdance
Ich gehe von der Voraussetzung aus, dass dieser Backdoor bereits einigen Schaden auf Deinem System angerichtet hat...
Was mich allerdings stutzig macht: Er wird "nur" in der Systemwiederherstellung angezeigt. Möglich, das er nicht aktiv war.

Gruß
Yopie


Alt 18.11.2004, 20:57   #6
Calavera_SZ
 
services.exe-Trojaner? - Standard

services.exe-Trojaner?



Vielen Dank erstmal für die prompte Antwort :-)

Hört sich irgendwie ziemlich besch....., äh, nicht gut an - habe aber damit gerechnet und wenn wir ehrlich sind, hast Du (und haben auch die Info-Verweise) vollkommen recht.

Also, auf in eine lange Nacht und nochmals besten Dank für die Hilfe!

Alt 18.11.2004, 21:08   #7
Calavera_SZ
 
services.exe-Trojaner? - Standard

services.exe-Trojaner?



-> yopie: Kann das also doch noch "Rettung" bedeuten???

Mein System läuft eigentlich (bis auf die e-Mail Geschichte, s.u.) völlig normal - keine extreme CPU Auslastung, keine Verzögerungen, nix offenbar ungewöhnliches eben - geht da was? Wäre ja der Wahnsinn!

Sollte die Formatierung wahrscheinlich doch die bessere Alternative sein würde ich gern noch folgendes wissen:

Habe meine Platte in drei Partitionen aufgeteilt:
1. c:\ Nur System (XP) und Programme
2. d:\ Eigene Dateien
3. e:\ Recovery (Sicherungskopien, Treiber...)

Müsste ich um ganz sicher zu gehen die ganze Platte formatieren oder könnte ich mich auf Partition C: beschränken? Ist bestimmt unwahrscheinlich aber fragen kann ich ja mal...

Thanxxx for response

Alt 18.11.2004, 21:14   #8
Lidius
 
services.exe-Trojaner? - Standard

services.exe-Trojaner?



C: dürfte meiner meinung nach genügen, schalte aber vor dem formatieren die systemwiederherstellung für alle Laufwerke ab.

Alt 18.11.2004, 21:15   #9
Yopie
Moderator, a.D.
 
services.exe-Trojaner? - Standard

services.exe-Trojaner?



Zitat:
Zitat von Calavera_SZ
-> yopie: Kann das also doch noch "Rettung" bedeuten???
Tja, sicherer ist auf jeden Fall das Neuaufsetzen. Ich finde es halt ungewöhnlich, dass der Backdoor bei Dir nicht aktiv zu sein scheint. Da ich aber nicht weiß, auf welchem Weg er in die Systemwiederherstellung gekommen ist, würde ich schon Neuaufsetzen.

Zitat:
Zitat von Calavera_SZ
Müsste ich um ganz sicher zu gehen die ganze Platte formatieren oder könnte ich mich auf Partition C: beschränken? Ist bestimmt unwahrscheinlich aber fragen kann ich ja mal...
Die Daten und Sicherungskopien solltest Du extern sichern (CD / DVD / ext. Festplatte) und nach dem Neuaufsetzen mit einem AV-Scanner überprüfen. So kannst Du "relativ" sicher gehen (kein AV-Scanner ist perfekt), dass
a) die Daten sauber sind und
b) Du ein sauberes System hast.

Gruß
Yopie

Alt 18.11.2004, 21:26   #10
Calavera_SZ
 
services.exe-Trojaner? - Standard

services.exe-Trojaner?



Okay, werde formatieren.

Muss Euch allerdings noch einmal nerven:
Habe blöder Weise vergessen zu erwähnen, dass ich noch 'ne externe Festplatte betreibe. Die müsste ich doch eigentlich als Backup-Träger für die entsprechenden Daten nutzen und nach dem Neuaufsetzen mit 'nem Viren-Check prüfen können?? Würde mir eine Menge Brennerei ersparen... Oder liege ich da falsch?

Alt 18.11.2004, 21:31   #11
chaosman
 
services.exe-Trojaner? - Standard

services.exe-Trojaner?



@Calavera_SZ
ich würde den virencheck vorher machen wenn das backup oben ist.
anders hast du ein sauberes system mit verseuchtem backup

chaosman
__________________
Bonus vir semper tiro

Alt 18.11.2004, 21:38   #12
Yopie
Moderator, a.D.
 
services.exe-Trojaner? - Standard

services.exe-Trojaner?



Zitat:
Zitat von chaosman
ich würde den virencheck vorher machen wenn das backup oben ist.
Von einem evtl. verseuchten System aus? Nö. Dann besser von einem wirklich sauberen System aus.

Gruß
Yopie

Antwort

Themen zu services.exe-Trojaner?
.inf, ad-aware, adobe, bho, bot, c:\windows\system32\services.exe, desktop, e-mails, excel, explorer, file missing, g-data, hijack, hijackthis, home, internet explorer, kaspersky, laufwerk c, log-file, microsoft, pdf, programme, security, services.exe, software, system, trojaner, vielen dank, windows, windows xp



Ähnliche Themen: services.exe-Trojaner?


  1. einer/mehrere trojaner services.exe/system 32
    Plagegeister aller Art und deren Bekämpfung - 17.09.2013 (34)
  2. Trojaner: Patched_c.LYU laut AVG in c:\Windows\System32\services.exe!
    Plagegeister aller Art und deren Bekämpfung - 28.01.2013 (13)
  3. AVG meldet: services.exe mit Trojaner infiziert
    Log-Analyse und Auswertung - 22.10.2012 (29)
  4. TROJANER dropper generic_c.mmi bei services.exe
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (1)
  5. Trojaner Dropper.Generic_c.MMI in C:\Windows\system32\services.exe
    Log-Analyse und Auswertung - 15.08.2012 (3)
  6. Trojaner in services.exe
    Log-Analyse und Auswertung - 18.07.2012 (1)
  7. Trojaner im System32 - Services.exe / Was tun?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (1)
  8. Trojaner: Patched_c.LYU laut AVG in c:\Windows\System32\services.exe!
    Plagegeister aller Art und deren Bekämpfung - 06.07.2012 (6)
  9. C:\windows\system32\services.exe - SVC Host trojaner
    Log-Analyse und Auswertung - 04.07.2012 (3)
  10. Trojaner: PSW.Generic9.RDX in services.exe (908)
    Plagegeister aller Art und deren Bekämpfung - 12.02.2012 (31)
  11. Trojaner: PSW.Generic.RDX in c:\windows\system32\services.exe
    Log-Analyse und Auswertung - 09.01.2012 (29)
  12. immer wieder Trojaner, Browser öffnet Werbung, Generic Host Process for W32 Services-Fehlermeldung
    Plagegeister aller Art und deren Bekämpfung - 19.01.2011 (7)
  13. services.exe
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (8)
  14. neu? services.exe
    Plagegeister aller Art und deren Bekämpfung - 30.12.2006 (1)
  15. Services.exe 100% Auslastung unter XP nach ICQ Trojaner!
    Alles rund um Windows - 20.12.2006 (8)
  16. Host Generic Services Absturz - Trojaner/Wurm????
    Plagegeister aller Art und deren Bekämpfung - 16.08.2006 (36)
  17. Problem mit Services.exe = Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 23.11.2004 (5)

Zum Thema services.exe-Trojaner? - Hallo zusammen, bin ein wenig verzweifelt - habe mir offensichtlich 'nen Trojaner eingefangen. Auf Laufwerk C taucht nun plötzlich eine Datei namens C:\services.exe (direkt auf C:\ und nicht etwa C:\WINDOWS\system32\services.exe). - services.exe-Trojaner?...
Archiv
Du betrachtest: services.exe-Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.