service.exe / Trojaner ?
 

Hallo, mein Pc wurd heute von jemand "übernommen", derjenige hat dann ein paar Spielereien gemacht und hat sich dann "verabschiedet" seitdem versuch ich diesen Trojaner / Backdoor ? loszuwerden. AntiVir hat mir gemeldet dass die service.exe infiziert ist, also die Signatur eines Trojaner enthält. Soweit bin ich dann gekommen, danach ist alles abgestürzt, Anti-Vir geht nun nicht mehr und auch andere Virenprogramme werden direkt "geblockt". Hab mir hier schon einiges durchgelesen wollte aber doch nochmal fragen ob hier jemand genaueres weiß, wie ich den Trojaner bzw. die Files loswerden kann. Derjenige hat mir auch folgende Informationen zukommen lassen :
service.exe
dann wurde noch eine dll erstellt die einiges hidden macht, also komplettes rootkit ist dabei
-> mir sagt das ziemlich wenig, kenne mich doch eher beschränkt aus xD. Muss zugeben das mein System ziemlich schlecht geschützt war hab mich wohl zu sehr auf die Hardware Firewall verlassen. Hab jetzt schonmal Hijack drüberlaufen lassen:

Logfile of HijackThis v1.99.1
Scan saved at 22:00:52, on 28.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
c:\progra~1\mozill~1\firefox.exe
C:\WINDOWS\services.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
D:\programme\steam\steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\UAService7.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***.***\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\acro\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [sv] C:\WINDOWS\svhost.exe
O4 - HKLM\..\RunOnce: [*sv] C:\WINDOWS\svhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [sv] C:\WINDOWS\svhost.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [*sv] C:\WINDOWS\svhost.exe
O4 - Startup: Ubisoft register.lnk = C:\Programme\Ubisoft\Register\schedule.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\acro\Reader\reader_sl.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe


ich bitte um Hilfe xD greetz

mOIn acclaim,
[/QUOTE]
Muss zugeben das mein System ziemlich schlecht geschützt war hab mich wohl zu sehr auf die Hardware Firewall verlassen.

Logfile of HijackThis v1.99.1
Scan saved at 22:00:52, on 28.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
[/QUOTE]
das denke ich auch (warum ist das SP2 nicht installiert ?), du hast wenn ich richtig geGooglet hab min. 2 sehr pöse Puben auf der Platte :
http://www.sophos.de/virusinfo/analyses/trojprorati.html
und
http://www.sophos.de/virusinfo/analyses/w32rbotpi.html
es wird wohl aufs neuaufsetzen hinauslaufen aber warte mal die Meinung der Spezies ab
MFG aus HH

Hi, acclaim,
Prorat und 3 aktive Backdoor-Trojaner auf einem ungepatchten System lassen nur eine Lösung zu:
Neuaufsetzen Deines Systems.
cacatoa

Hi

Danke für die Antworten, werd des ganze mal neu aufsetzen und gleich besser schützen :-)

Ps: ja des mit dem Sp2 bereu ich langsam auch, aber mir wurde halt oft von "Spezialisten" (anscheinend doch nicht^^) gesagt, dass ich es weglassen soll (aus Überwachunsgründen usw...)

thx & greetz