Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   NT Autoritätssystem - services. exe - bitte um Hilfe (https://www.trojaner-board.de/38751-nt-autoritaetssystem-services-exe-bitte-um-hilfe.html)

roxann 09.05.2007 16:42
NT Autoritätssystem - services. exe - bitte um Hilfe
 
Dass die services.exe mein System ab und zu mal runterfahren lässt hab ich als unbequemes Übel hingenommen. Da sich auch nach dem Update auf SP2 und Aktualisierung der Viren und Firewallsoftware kein Wurm oder Trojaner ausmachen ließ, bräuchte ich heute mal Eure Hilfe, da mein Rechner in den letzten 3 Stunden 4x 'abgeschmiert' ist.
hier mein Logfile - überarbeitet -: (ich hoffe es ist jetzt vollständig!?)
Logfile of HijackThis v1.97.7
Scan saved at 17:55:23, on 09.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus Photo RX600] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0M2.EXE /P24 "EPSON Stylus Photo RX600" /O6 "USB003" /M "Stylus Photo RX600"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ***update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177167596734
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - ***download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{968E3488-358F-4C79-9B19-83E4F45AA38D}: NameServer = 130.244.127.161 130.244.127.169

Vielen Dank im Voraus

erty 09.05.2007 16:55
Bitte poste ein vollständiges HJT-Log!

nochdigger 09.05.2007 17:20
Hallo

deine Hijackthisversion ist total veraltet
Zitat:
Logfile of HijackThis v1.97.7
hier findest du die aktuelle --> HijackThis

MFG

roxann 09.05.2007 17:34
so, das ganze jetzt niomma mit der aktuellen version (thx für den tipp):

Logfile of HijackThis v1.99.1
Scan saved at 18:30:40, on 09.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Dokumente und Einstellungen\****\Eigene Dateien\hijackthis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus Photo RX600] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0M2.EXE /P24 "EPSON Stylus Photo RX600" /O6 "USB003" /M "Stylus Photo RX600"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: MedionShop - {1E11F542-20AC-4832-825F-B35E7E74BAE3} - ***.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177167596734
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: System Driver Service (systemdriver) - Unknown owner - C:\WINDOWS\system32\sysdriver.exe (file missing)
O23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe (file missing)
O23 - Service: wsxfs(wsxfs) (wsxfs) - Unknown owner - C:\WINDOWS\system32\wsxfs.exe (file missing)

erty 09.05.2007 17:37
Du hattest höchstwahrscheinlich diesen W32/Sdbot-YG - Wurm - Sophos Bedrohungsanalyse

Wurm zu Gast.

Eigenschaften:
* Schaltet Antiviren-Anwendungen aus
* Ermöglicht Dritten den Zugriff auf den Computer
* Reduziert die Systemsicherheit
* Installiert sich in der Registrierung

Ich würde neu aufsetzen.

Rene-gad 09.05.2007 17:42
Zitat:
Zitat von roxann (Beitrag 267745)
Dass die services.exe mein System ab und zu mal runterfahren lässt hab ich als unbequemes Übel hingenommen. Da sich auch nach dem Update auf SP2 und Aktualisierung der Viren und Firewallsoftware kein Wurm oder Trojaner ausmachen ließ
Soll das etwa heißen -du hast erst die Kiste mit Backdoors versorgt
Zitat:
O23 - Service: System Driver Service (systemdriver) - Unknown owner - C:\WINDOWS\system32\sysdriver.exe (file missing)
O23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe (file missing)
O23 - Service: wsxfs(wsxfs) (wsxfs) - Unknown owner - C:\WINDOWS\system32\wsxfs.exe (file missing)
und erst danach SP2 installiert? :confused:
Tja, man müsste allerdings wissen, dass ein Condom ein gutes Mittel gegen AIDS ist, soll aber bereits vor dem Geschlechtsverkehr richtig eingesetzt werden. :schmoll:
Bitte Windows neu installieren. Anleitung findest du unterm Link Trojaner-Board-Anleitungen in meiner Signatur.
EDIT: erty war schneller :party:

erty 09.05.2007 17:46
Hast ja auch viel mehr geschrieben und das ganze mit Kondomen veranschaulicht...:party:

roxann 09.05.2007 19:48
ist eine neuinstallation wirklich unumgänglich...oder bekomm ich das problem vielleicht doch noch anderweitig in den griff (betreffenden dateien exen etc..)

thx nomma für's 'sicherheitstraining' ;)

PS: Meine Viren- und Firewallsoftware war vorher (eigentlich) immer auf dem laufenden (nur SP2 hatte ich noch nicht) und hat bisher nie alarm geschlagen!

MightyMarc 09.05.2007 19:56
Zitat:
Zitat von roxann (Beitrag 267781)
PS: Meine Viren- und Firewallsoftware war vorher (eigentlich) immer auf dem laufenden (nur SP2 hatte ich noch nicht) und hat bisher nie alarm geschlagen!
Der beste Schutz und gleichzeitg die größte Gefahr für Deinen Rechner bist Du selbst.
Und nein, bei einem Backdoortrojaner sollte man nicht versuchen ihn zu löschen. Du würdest nie einen Zustand erreichen, bei dem Du sicher sein könntest ein sauberes System zu haben.


Gruß

Marc

Rene-gad 09.05.2007 20:06
Zitat:
Zitat von MightyMarc (Beitrag 267783)
Du würdest nie einen Zustand erreichen, bei dem Du sicher sein könntest ein sauberes System zu haben.
Mein Senf dazu: Es gibt heutzutage kein Mittel, womit man die Sauberkeit des bereingten Systems mit Sicherheit nachweisen kann. :rolleyes:


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:34 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129