|
services.exe-Trojaner? Hallo zusammen, bin ein wenig verzweifelt - habe mir offensichtlich 'nen Trojaner eingefangen. Auf Laufwerk C taucht nun plötzlich eine Datei namens C:\services.exe (direkt auf C:\ und nicht etwa C:\WINDOWS\system32\services.exe). Wenn ich mit Outlook e-Mails abrufen möchte bekomme ich eine Abfrage nach 'nem Netzwerk-Kennwort... Ist doch nicht normal, oder? Habe bereits diverse Foren durchsucht und hier und da auch 'n paar Tipps (inkl. removal tools) gefunden und darüber hinaus Online-Viren-Check mit Kaspersky machen lassen - leider alles ohne Erfolg. Habe Ad-Aware & Spy Bot laufen lassen - nix :-( Ich also los und AntiViren Kit (AVK)InternetSecurity 2005 von G-Data eingekauft - der Basis-Check von der bootfähigen CD findet auch das ein oder andere, bricht aber leider nach 40 Minuten an immer derselben Stelle (wmplayer.exe) ab. Und das ganze zu installieren solange der Trojaner noch drauf ist, macht wohl keinen Sinn (so jedenfalls G-Data). Anbei noch das aktuellste Log-File von HijackThis – vielleicht steckt der Teufel ja im detail?! Logfile of HijackThis v1.98.1 Scan saved at 16:48:16, on 18.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\PROGRA~1\SIEMEN~1\SDS\SPHONE~2.EXE C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft Works\WkDStore.exe C:\Programme Archiv\Anti-Spy Tools\HijackThis1981.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:// R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:// R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe O4 - HKLM\..\Run: [mspd] C:\WINDOWS\System32\mspd.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O19 - User stylesheet: (file missing) Wäre schön, wenn jemand Rat weiss… Vielen Dank |
Hallo Calavera_SZ, lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ca 1-2 Stunden dauert und ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) SD |
So, danke für den Tipp: gesagt - getan! Hier das Ergebnis von eScan. Es scheinen zwar "nur" 4 verschiedene böse Dateien zu sein aber ich poste mal alle Dateien, die infiziert zu sein scheinen... 1. File C:\WINDOWS\System32\cxxtfw.73o infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 2. File C:\WINDOWS\System32\drzrtc.w63 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 3. File C:\WINDOWS\System32\elvnew.374 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 4. File C:\WINDOWS\System32\frrfig.6fe infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 5. File C:\WINDOWS\System32\igxxrg.g29 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 6. File C:\WINDOWS\System32\iibgct.78y infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 7. File C:\WINDOWS\System32\mabavs.013 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 8. File C:\WINDOWS\System32\mjezln.85f infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 9. File C:\WINDOWS\System32\mnevqf.e8r infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 10. File C:\WINDOWS\System32\obhasd.th3 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 11. File C:\WINDOWS\System32\oukxhu.wne infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 12. File C:\WINDOWS\System32\ozhmua.v76 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 13. File C:\WINDOWS\System32\qgxakh.897 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 14. File C:\WINDOWS\System32\uzyrmf.2r4 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 15. File C:\WINDOWS\System32\yvsgkr.3o9 infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. 16. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP29\A0014454.exe infected by "Backdoor.HacDef.e" Virus. Action Taken: No Action Taken. 17. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP29\A0014455.exe infected by "TrojanDownloader.Win32.Small.ix" Virus. Action Taken: No Action Taken. 18. File C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP29\A0014456.exe infected by "Backdoor.HacDef.e" Virus. Action Taken: No Action Taken. Könnt ihr damit was anfangen?? |
Hallo Calavera_SZ, Zitat:
Ich gehe von der Voraussetzung aus, dass dieser Backdoor bereits einigen Schaden auf Deinem System angerichtet hat und empfehle Dir daher Deine Festplatte zu formatieren - Schritt für Schritt. Würmer mit Backdoor-Eigenschaften hinterlassen Schlüssel in der Registry und Code auf dem System. Sie erlauben Dritten uneingeschränkten Zugriff auf das System des betroffenen Rechners. Vergleiche hierzu auch Entfernung von Schädlingen und Kompromittierung unvermeidbar? - mit Dank an @ Yopie. Bitte beachte Lutz: Datensicherung und Cidre's Rat. SD |
Zitat:
Gruß :daumenhoc Yopie |
Vielen Dank erstmal für die prompte Antwort :-) Hört sich irgendwie ziemlich besch....., äh, nicht gut an - habe aber damit gerechnet und wenn wir ehrlich sind, hast Du (und haben auch die Info-Verweise) vollkommen recht. Also, auf in eine lange Nacht und nochmals besten Dank für die Hilfe! |
-> yopie: Kann das also doch noch "Rettung" bedeuten??? Mein System läuft eigentlich (bis auf die e-Mail Geschichte, s.u.) völlig normal - keine extreme CPU Auslastung, keine Verzögerungen, nix offenbar ungewöhnliches eben - geht da was? Wäre ja der Wahnsinn! Sollte die Formatierung wahrscheinlich doch die bessere Alternative sein würde ich gern noch folgendes wissen: Habe meine Platte in drei Partitionen aufgeteilt: 1. c:\ Nur System (XP) und Programme 2. d:\ Eigene Dateien 3. e:\ Recovery (Sicherungskopien, Treiber...) Müsste ich um ganz sicher zu gehen die ganze Platte formatieren oder könnte ich mich auf Partition C: beschränken? Ist bestimmt unwahrscheinlich aber fragen kann ich ja mal... Thanxxx for response |
C: dürfte meiner meinung nach genügen, schalte aber vor dem formatieren die systemwiederherstellung für alle Laufwerke ab. |
Zitat:
Zitat:
a) die Daten sauber sind und b) Du ein sauberes System hast. Gruß :daumenhoc Yopie |
Okay, werde formatieren. Muss Euch allerdings noch einmal nerven: Habe blöder Weise vergessen zu erwähnen, dass ich noch 'ne externe Festplatte betreibe. Die müsste ich doch eigentlich als Backup-Träger für die entsprechenden Daten nutzen und nach dem Neuaufsetzen mit 'nem Viren-Check prüfen können?? Würde mir eine Menge Brennerei ersparen... Oder liege ich da falsch? |
@Calavera_SZ ich würde den virencheck vorher machen wenn das backup oben ist. anders hast du ein sauberes system mit verseuchtem backup chaosman |
Zitat:
Gruß :daumenhoc Yopie |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board