w32.sober.N@mm
 

Wie kann ich die services.exe löschen? (windows/system32)

Habe bereits in der Registry zipped.wrm, maddys.xyz und die image patchs von der services.exe gelöscht.


Logfile of HijackThis v1.99.1
Scan saved at 19:19:48, on 18.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Statusfenster für Canon iR1510-1670.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4LAK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe
O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

@Steffi K
Wer hat gesagt, dass du es tun musst?
Sind die wirklich böse?
BTW: wozu brauchst du 2 Antiviren?

habe gelesen, dass dieser wurm die services, zipped,maddys dateien anlegt, die letzten beiden habe ich in der reg gelöscht,dachte muß die services auch löschen!

http://www.bsi.bund.de/av/vb/sobern.htm

habe die ganzen programme runtergeladen, weil alle den wurm nicht gefunden haben und grauf ist immer noch was! der rechner ist sehr sehr langsam. habe mir zuhause ein netzwerk eingerichtet mit zwei rechnern und auf dem rechner von meinem mann hat gdata obengenannten wurm entdeckt und ihn aber nicht desinfizieren können.
wie bekomme ich das alles runter ?

warum hilft mir denn keiner, der rechner ist total langsam im normalen modus! das hochfahren dauert ca. 10 min.!

Bitte helft mir *fleh*

@Steffi K
Weil:
a) alle posten hier freiwillig und von ihrer Freizeit abhängig.
b) du du auf meine Frage bezüglich 2 AV-Programmen keine vernünftige Antwort gab. Und das könnte die Ursache sein, warum dein Rechner so lahm läuft.
c) im Log ist nichts Böses zu erkennen.
Arbeite bitte das durch: http://www.trojaner-board.de/42731-escan-anleitung.html

entschuldige, bin nur so verzweifelt weil ich das nicht hinbekomme!!



escan hat vier viren gefunden, was soll ich jetzt nur machen,alle anderen programme haben nichts gefunden!

hier ist der logfile von escan,

Object "cws.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "RedV Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "WhenU.SaveNow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "WhenU.SaveNow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\Adobe\Fonts\Reqrd\Base\AdobeFnt.lst". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{13510606-30FA-11D2-B383-444553540000}" refers to invalid object "C:\DOKUME~1\Mobilfun\EIGENE~1\THINCL~1\orfc.dll". Action Taken: No Action Taken.


Danke für die schnelle antwort ! :)

@Steffi K
1.WhenU über Systemsteuerung/Software deinstallieren.
2.Start/Ausführen... regedit eingeben, Ende-Taste drücken, die Schlüssel
löschen.
3. 2. Antivirus deinstallieren.

zu 1. WhenU gibt es nicht in der Systemsteuerung/Programme

zu 2. Soll ich den kompletten Ordner SharedDlls löschen? Da sind doch alle Gemeinsamen Dateien drin, die müssen doch bestimmt nicht alle gelöscht werden. Meinst du eine bestimmte Datei die entfernt werden soll?

HKCR\CLSID\{13510606-30FA-11D2-B383-444553540000} hab ich gelöscht.

zu 3. Was meinst du damit? Welches AntiVirus-Programm meinst du und warum muss es gelöscht werden? Ist doch immer besser mehrere zu haben.

@Steffi K
Wo steht, dass du den Ordner löschen sollst?
Gelöscht-keins, AnitVir bitte deinstallieren
Ist doch immer besser mehrere zu haben.
Nein.
Bitte noch
http://www.safer-networking.org/de/news/index.html
http://www.lavasoftusa.com/support/download/
herunterladen, updaten, laufen lassen, alle Funde entfernen.

Was soll ich sonst löschen? Adobe-Dateien?

Warum AntiVir deinstallieren? Das Programm ist doch genauso gut wie die anderen. Hatte noch keine Probleme damit.

Spybot und Ad-aware läuft schon seit Tagen. Die finden aber auch nix besonderes. Ad-aware bloß Cookies und MRU-Listen. Spybot findet ebenfalls nur Cookies und folgenden Eintrag: "Windows Security Center.AntiVirusOverride"

Was ist mit diesem Eintrag "cws.therealsearch Spyware/Adware" wie bekomme ich den los? CWShredder hat nix gefunden. Ist doch aber bestimmt ein CoolWebSearch-Teil oder?

@Steffi K
Lese bitte einfach aufmerksam und langsam:
Weil AVK einfach besser und zuverlässiger ist.
Hast du versucht, die Funde zu entfernen?
Warum? therealsearch ist nicht CoolWebSearch gelich, oder habe ich die Buchstaben umgestellt? Ansonsten : Zugriff zum google.de funzt noch ? http://www.spyware-removal-guideline...search-removal

Ja, habe bei Spy-bot und Ad-Adware die MRU-Listen und die Cookies gelöscht!
Der Spy-Sweeper hat nichts gefunden!

Alle Programme sagen mir das kein Virus drauf ist, der rechner läuft aber immer noch nicht und escan hat das immernoch gefunden !?!

Object "cws.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken

Gebe langsam auf! Was würde passieren wenn ich windows neu draufspiele??

Dann hast du ein sauberes System,allerdings solltest du auch die Festplatte formatieren,Anleitung dazu findest du hier :

http://trojaner-board.de/showthread.php?t=12154


Gruss

@HerrKautz

gibt es keine andere Möglichkeit? Die Festplatte zu formatieren wollte ich als letzte machen , wenn gar nichts mehr geht !

@Steffi K
Wenn es dir nicht viel ausmacht, .... ;). Allerdings sehe ich in deinem Fall keinen zwingenden Grund dazu. Versuche mal noch bissle im google zu stöbern, vielleicht findest du was. Wenn ja - poste bitte hier.

Ich sehe auch keinen Handlungsbedarf(zwingend)hast du schonmal im abgesicherten Modus mit Spybot gescannt,und die Systemwiederherstellung deaktiviert vorher?!
Das wäre noch ne Möglichkeit die mir einfällt,ansonsten ist das Neu aufsetzen gegenüber einer "Reperatur" immer vorzuziehen!

ich habe schon über 15 Programme durchlaufen lassen und keines hat was gefunden!

OnlineScans .......... die haben mir alle nicht weiterhelfen können!

@Herrkautz

habe das schon ganz am anfang getan, seitdem bin ich nur im abgesicherten modus unterwegs! Spy-bot findet immer nur

Windows Security Center.AntiVirusOverride

Das ist nichts bedenkliches,habe das selber gerade hier gelesen http://www.computing.net/windowsxp/w...um/139609.html kannst du also ignorieren,dann solltest du doch vielleicht neu aufsetzen,es sei denn,du hast ein Hardware Problem,aber das kann man ja ausschliessen denke ich....

Hi
Bitte poste noch einmal ein aktuelles hijackthis-logfile

warum: weil überhaupt kein aktiver prozess einer antivirensoftware offen ist, bzw. sieht das logfile aus, als ob es im abgesicherten modus erstellt wurde.

Fällt mir gerade auch auf,wo du es schreibst,man merkt doch,ich bin schwer eingerostet..... :nixda:

@passat2000
ja das logfile hatte ich im abgesicherten modus erstellt, weil am freitag im normalen-modus überhaupt nix zu machen ging. mittlerweile habe ich die registry gesäubert und das system ist etwas schneller aber immer noch nicht ok.

hier also das log-file vom normalen modus:

ALogfile of HijackThis v1.99.1
Scan saved at 16:23:14, on 22.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\CAPM4RSK.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Interwise\Student\pull.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPM4LAK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4SWK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Mobilfun\Desktop\Mail\download\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.idealo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: metaspinner media GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten\Preispiraten2\IEButtonAmazonInterface.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll
O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKCU\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Push Client.LNK = C:\Interwise\Student\pull.exe
O4 - Global Startup: Statusfenster für Canon iR1510-1670.LNK = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPM4LAK.EXE
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: amazon Suche - C:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Preispiraten\Preispiraten2\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Preispiraten\Preispiraten2\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/de/de/tools/activex/fpu.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

@Steffi K
Das Einzige, was ich hier fixen würde.
Kannst du genau beschreiben, was nicht OK ist?

hi

neben dem was rene-gad dir zum fixen geraten hat, kannst du auch noch das fixen

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

diese dateien bitte bei Jotti oder Virustotal überprüfen lassen, ergebnis hier posten.

C:\WINDOWS\system32\CAPM4RSK.EXE
C:\Interwise\Student\pull.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPM4LAK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4SWK.EXE

Hi,

leider hat jotti und virustotal nichts gefunden!Mir reicht es jetzt! Ich mache ihn jetzt platt!!!! :kloppen:


Danke für das bemühen, bis zum nächsten mal!

Euro Steffi K :bussi:

dann beachte aber die anleitung:
http://trojaner-board.de/showthread.php?t=12154