services.exe

[MO05]

Hi
Habe folgendes Problem:

Nach etwa zwei minuten nach dem ich eine Verbindung mit dem Internet hergestellt habe, öffnet sich ein Feld der "services.exe - Kein Datenträger" das mir sagt das sich kein Datenträger im Laufwerk A befindet, obwohl ich in keinster Weise irgend ein Laufwerk ausgewählt oder einen Datenträger eingelegt habe.
Wenn ich auf abrechen oder weiter gehe erscheint das feld immer wieder und der Prozess: "services.exe" ist immernoch komplett oder ueber 50 % ausgelastet.

Was tuen ?

Verwende Kapersky Internet Security

[MO05]

Kann keiner helfen?

Und was ist diese services.exe?

[Holy Marcell]

Ein Systemdienst von MS Windows:

Lade:
http://www.merijn.org/files/hijackthis.zip
=======
Entpacke in einen eigenen Ordner ==> Doppelklick auf: "Hijackthis.exe" ==> Haken setzen ==> [Noone of the above Just start the Programm] ==> Button [Scan] ==> Nach dem Scan [Save Logfile] Speichere es ==> Ein Editor öffnet sich: kopiere den Inhalt hierher ins Forum.
Bebilderte Kurzanleitung

[MO05]

Logfile of HijackThis v1.99.0
Scan saved at 14:39:38, on 19.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\services.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
F:\Programme\QuickTime\qttask.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programme\Messenger\msmsgs.exe
D:\CS\CS 1.6\Steam HL\hl.exe
F:\Programme\Winamp\winamp.exe
F:\Programme\ArcorOnline\Arcor.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\WINDOWS\System32\wuauclt.exe
F:\WINDOWS\System32\taskmgr.exe
F:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programme\google\googletoolbar2.dll
O2 - BHO: VCS3IESupport Class - {B9D6B3C2-09AD-464A-8162-8C55114C808A} - F:\Programme\AV VCS 3.0 DIAMOND\Vcs3RT.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Task manager] taskmngr.exe
O4 - HKLM\..\Run: [KAVPersonal50] "F:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] F:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [Task manager] taskmngr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Task manager] taskmngr.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = F:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: &Google-Suche - res://f:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://f:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://f:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://f:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://f:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0F02661-804F-4B41-A26E-557806D4F35B}: NameServer = 195.50.140.178 195.50.140.114
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - F:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Microsoft Windows Spooler Service - Unknown - F:\WINDOWS\services.exe

[MO05]

Und nun?

[MO05]

Habe nun folgende Virenerkennung von Kapersky bekommen,

F: \WINDOWS\Services.exe

Virus: Backdoor.Win32.SDBot.xd.


Wie kann ich dies loswerden?

[GrayGhost]

Hallo,
hast du dich ohne laufende Firewall und ohne SP2 mit dem Internet verbunden? Hast du den Virenscanner als Hintergrundprozess als Wächter laufen lassen?

[Nikita]

der Rechner ist von einem Backdoor/Agabot-Wurm befallen:

O4 - HKLM\..\Run: [Task manager] taskmngr.exe
O4 - HKLM\..\RunServices: [Task manager] taskmngr.exe
O4 - HKCU\..\Run: [Task manager] taskmngr.exe
O23 - Service: Microsoft Windows Spooler Service - Unknown - F:\WINDOWS\services.exe

+
Trojan-Dropper.Win32.Agent
http://virus-protect.org/artikel/dienste/service.html

man kann das reinigen, aber dazu brauche ich logs:

--------------------------------------------------------------------------------------------

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Microsoft Windows Spooler Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

[MO05]

Verzeichnis von F:\WINDOWS\system32

08.06.2006 17:18 2.206 wpa.dbl
05.06.2006 13:35 110.192 FNTCACHE.DAT
04.06.2006 11:55 16 RgsdData.dat
01.06.2006 17:35 100 LuResult.txt
26.05.2006 18:04 371 assert.log
26.05.2006 17:52 0 TFTP512
26.05.2006 17:51 0 TFTP216
26.05.2006 17:24 0 TFTP520
26.05.2006 17:22 0 TFTP420
26.05.2006 17:10 23.392 nscompat.tlb
26.05.2006 17:10 16.832 amcompat.tlb
26.05.2006 17:08 3.683 qtplugin.log
26.05.2006 15:24 0 h323log.txt
26.05.2006 14:57 52.764 perfc009.dat
26.05.2006 14:57 380.350 perfh009.dat
26.05.2006 14:57 63.580 perfc007.dat
26.05.2006 14:57 391.000 perfh007.dat
26.05.2006 14:57 786.220 PerfStringBackup.INI
26.05.2006 14:46 25.065 wmpscheme.xml
26.05.2006 14:34 386 $winnt$.inf
26.05.2006 14:31 2.951 CONFIG.NT
26.05.2006 14:30 488 logonui.exe.manifest
26.05.2006 14:30 488 WindowsLogon.manifest
26.05.2006 14:30 749 cdplayer.exe.manifest
26.05.2006 14:30 749 nwc.cpl.manifest
26.05.2006 14:30 749 wuaucpl.cpl.manifest
26.05.2006 14:30 749 sapi.cpl.manifest
26.05.2006 14:30 749 ncpa.cpl.manifest
26.05.2006 14:28 21.740 emptyregdb.dat
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 176.128 pxmas.dll
03.05.2006 21:26 5.818.784 MRT.exe
22.03.2006 17:46 2.702.336 MSHTML.DLL
22.03.2006 03:29 612.352 xpsp2res.dll
21.03.2006 15:36 1.339.392 SHDOCVW.DLL
17.03.2006 07:03 8.392.192 shell32.dll
17.03.2006 02:49 25.600 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
03.03.2006 15:46 498.176 MSTIME.DLL
03.03.2006 15:46 462.848 URLMON.DLL
01.03.2006 21:44 150.528 msdtcuiu.dll
01.03.2006 21:44 11.776 xolehlp.dll
01.03.2006 21:44 368.640 msdtcprx.dll
01.03.2006 21:44 64.512 mtxclu.dll
01.03.2006 21:44 974.336 msdtctm.dll
01.03.2006 21:44 83.456 mtxoci.dll



Verzeichnis von F:\DOKUME~1\Chef\LOKALE~1\Temp

20.06.2006 21:59 16.384 ~DF693D.tmp
19.06.2006 22:53 16.384 ~DF85E9.tmp
19.06.2006 22:01 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}24353.html
19.06.2006 21:55 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}17919.html
19.06.2006 21:40 16.384 ~DFD91B.tmp
19.06.2006 21:40 16.384 ~DFC2C9.tmp
19.06.2006 21:40 512 ~DFC2DB.tmp
19.06.2006 21:39 16.384 ~DFB5E2.tmp
19.06.2006 15:23 16.384 ~DF68E1.tmp
19.06.2006 14:54 16.384 ~DF30D2.tmp
19.06.2006 14:54 16.384 ~DF24E4.tmp
19.06.2006 14:38 16.384 ~DF4BB4.tmp
19.06.2006 14:35 16.384 ~DF2BD0.tmp
19.06.2006 14:00 16.384 ~DFFF34.tmp
19.06.2006 14:00 16.384 ~DFFDC1.tmp
19.06.2006 14:00 16.384 ~DFFC8F.tmp
19.06.2006 14:00 16.384 ~DFFBB7.tmp
19.06.2006 13:57 16.384 ~DF8F85.tmp
19.06.2006 13:57 16.384 ~DF6078.tmp
19.06.2006 13:53 16.384 ~DF6746.tmp
18.06.2006 20:14 16.384 ~DF7BF7.tmp
18.06.2006 19:28 16.384 ~DF393C.tmp
18.06.2006 19:28 16.384 ~DF3969.tmp
18.06.2006 19:28 16.384 ~DF3901.tmp
18.06.2006 19:28 16.384 ~DF38CF.tmp
18.06.2006 19:25 16.384 ~DF4F46.tmp
18.06.2006 19:25 16.384 ~DF4ECE.tmp
18.06.2006 19:25 16.384 ~DF4E9D.tmp
18.06.2006 19:24 16.384 ~DF4E6E.tmp
18.06.2006 19:24 16.384 ~DF2EBB.tmp
18.06.2006 19:24 16.384 ~DF17E5.tmp
18.06.2006 19:24 16.384 ~DF52F4.tmp
18.06.2006 18:50 16.384 ~DF7672.tmp
18.06.2006 18:50 16.384 ~DF7689.tmp
18.06.2006 18:50 16.384 ~DF765E.tmp
18.06.2006 18:50 512 ~DF769D.tmp
18.06.2006 18:50 16.384 ~DF7608.tmp
18.06.2006 18:50 512 ~DF761C.tmp
18.06.2006 18:50 512 ~DF7647.tmp
18.06.2006 18:50 16.384 ~DF7633.tmp
18.06.2006 18:50 16.384 ~DFD6CC.tmp
18.06.2006 18:50 512 ~DF6DA1.tmp
18.06.2006 18:50 16.384 ~DF6D8D.tmp
18.06.2006 18:50 16.384 ~DFF061.tmp
18.06.2006 13:22 16.384 ~DF4DE0.tmp
18.06.2006 13:22 512 ~DF33D2.tmp
18.06.2006 13:22 16.384 ~DF33BC.tmp
18.06.2006 13:22 16.384 ~DF40F5.tmp
18.06.2006 12:35 90.112 ~11.tmp
18.06.2006 12:34 16.384 ~DF689.tmp
18.06.2006 12:34 16.384 ~DFF487.tmp
18.06.2006 12:34 512 ~DFF49D.tmp
18.06.2006 12:34 16.384 ~DFE17D.tmp
18.06.2006 12:29 16.384 ~DF96DD.tmp
18.06.2006 12:29 512 ~DFBD4.tmp
18.06.2006 12:29 16.384 ~DFBA9.tmp
18.06.2006 12:18 16.384 ~DFE2EC.tmp
18.06.2006 11:11 16.384 ~DF3F5B.tmp
18.06.2006 11:11 512 ~DF3F6F.tmp
18.06.2006 11:11 512 ~DF3F44.tmp
18.06.2006 11:11 16.384 ~DF3F30.tmp
18.06.2006 11:11 16.384 ~DF3F02.tmp
18.06.2006 11:11 512 ~DF3F19.tmp
18.06.2006 11:11 512 ~DF3EEB.tmp
18.06.2006 11:11 16.384 ~DF3ED7.tmp
18.06.2006 10:28 16.384 ~DF6C3F.tmp
18.06.2006 10:28 16.384 ~DF3F4B.tmp
18.06.2006 10:28 512 ~DF3F5F.tmp
18.06.2006 10:28 16.384 ~DF5135.tmp
17.06.2006 20:17 16.384 ~DF312D.tmp
17.06.2006 20:17 16.384 ~DF22E2.tmp
17.06.2006 20:17 16.384 ~DF2A5F.tmp
17.06.2006 17:44 16.384 ~DFBD5B.tmp
17.06.2006 17:25 16.384 ~DFD28F.tmp
17.06.2006 14:09 512 ~DF834A.tmp
17.06.2006 14:09 512 ~DF82F4.tmp
17.06.2006 14:09 16.384 ~DF8336.tmp
17.06.2006 14:09 16.384 ~DF82E0.tmp
17.06.2006 14:09 512 ~DF82C9.tmp
17.06.2006 14:09 512 ~DF831F.tmp
17.06.2006 14:09 16.384 ~DF830B.tmp
17.06.2006 14:09 16.384 ~DF82B5.tmp
17.06.2006 10:35 16.384 ~DFC8A8.tmp
17.06.2006 10:35 512 ~DFB9F1.tmp
17.06.2006 10:35 16.384 ~DFB9DD.tmp
17.06.2006 10:34 16.384 ~DFD0CE.tmp
17.06.2006 01:04 16.384 ~DF6532.tmp
16.06.2006 12:14 16.384 ~DF109E.tmp
16.06.2006 12:14 16.384 ~DFFDFE.tmp
16.06.2006 12:06 16.384 ~DF874E.tmp
15.06.2006 21:40 16.384 ~DFA17F.tmp
15.06.2006 21:40 16.384 ~DF8A8E.tmp
15.06.2006 21:39 16.384 ~DFB725.tmp
15.06.2006 14:13 14.253 ICQ28.tmp
15.06.2006 14:13 5.393 ICQ27.tmp
15.06.2006 12:01 16.384 ~DF69D2.tmp
15.06.2006 12:01 512 ~DF5619.tmp
15.06.2006 12:01 16.384 ~DF5605.tmp
15.06.2006 12:00 16.384 ~DF8DAB.tmp
13.06.2006 14:05 16.384 ~DFE04.tmp
13.06.2006 14:05 16.384 ~DFE20B.tmp
13.06.2006 14:05 16.384 ~DFF4A3.tmp
12.06.2006 21:38 16.384 ~DF864F.tmp
12.06.2006 19:31 16.384 ~DFC5BF.tmp
12.06.2006 19:31 16.384 ~DFAE07.tmp
12.06.2006 15:01 16.384 ~DFA627.tmp
12.06.2006 15:01 16.384 ~DF92BF.tmp
12.06.2006 15:00 16.384 ~DF5FAE.tmp
11.06.2006 16:57 16.384 ~DF3CA8.tmp
11.06.2006 16:57 16.384 ~DF2FE4.tmp
11.06.2006 16:56 16.384 ~DFC824.tmp
11.06.2006 14:48 16.384 ~DF5102.tmp
11.06.2006 14:38 0 WER1B.tmp
11.06.2006 14:14 16.384 ~DF5A22.tmp
11.06.2006 14:14 16.384 ~DF59F5.tmp
11.06.2006 14:14 16.384 ~DF599F.tmp
11.06.2006 14:14 16.384 ~DF59CA.tmp
11.06.2006 13:26 90.112 ~18.tmp
11.06.2006 13:08 16.384 ~DF7C64.tmp
11.06.2006 13:08 16.384 ~DF6C0D.tmp
11.06.2006 13:08 16.384 ~DF4F09.tmp
10.06.2006 21:04 0 aax16.tmp
10.06.2006 19:31 16.384 ~DF2E9C.tmp
10.06.2006 19:31 16.384 ~DF20B5.tmp
10.06.2006 19:30 16.384 ~DFDB65.tmp
10.06.2006 15:50 16.384 ~DFC185.tmp
10.06.2006 15:50 16.384 ~DF9794.tmp
10.06.2006 15:50 16.384 ~DF726E.tmp
10.06.2006 14:11 0 WER21.tmp
10.06.2006 13:17 90.112 ~1F.tmp
10.06.2006 12:18 16.384 ~DF482.tmp
09.06.2006 21:14 16.384 ~DF3287.tmp
09.06.2006 12:22 16.384 ~DFF33.tmp
09.06.2006 12:22 16.384 ~DFF4CD.tmp
09.06.2006 12:21 16.384 ~DFBB5F.tmp
08.06.2006 23:24 20.480 ~WRC0003.tmp
08.06.2006 23:24 33.792 ~WRC0002.tmp
08.06.2006 23:23 20.480 ~WRC0001.tmp
08.06.2006 23:23 33.792 ~WRC0000.tmp
08.06.2006 17:23 16.384 ~DF6A83.tmp
08.06.2006 17:23 16.384 ~DF5CBD.tmp
08.06.2006 17:22 16.384 ~DF1F1B.tmp
07.06.2006 17:27 6.007 ICQ20.tmp
07.06.2006 17:02 10.268 ICQ18.tmp
04.06.2006 18:51 90.112 ~59.tmp
01.06.2006 17:36 105.396 symcprop.dat
30.05.2006 19:10 90.112 ~8E.tmp
28.05.2006 13:18 90.112 ~B.tmp
27.05.2006 17:48 90.112 ~3B.tmp
149 Datei(en) 2.678.190 Bytes
0 Verzeichnis(se), 5.534.793.728 Bytes frei


Verzeichnis von F:\WINDOWS

20.06.2006 22:05 1.996.336 WindowsUpdate.log
20.06.2006 21:59 551.963 setupapi.log
20.06.2006 21:57 0 0.log
20.06.2006 21:56 2.048 bootstat.dat
20.06.2006 20:08 23.042 SchedLgU.Txt
19.06.2006 22:09 116 NeroDigital.ini
18.06.2006 10:44 54.156 QTFont.qfn
15.06.2006 21:38 190.913 setupact.log
15.06.2006 16:38 3.603 KB917344.log
15.06.2006 16:37 3.505 KB917953.log
15.06.2006 16:37 3.411 KB911280.log
15.06.2006 16:37 3.453 KB914389.log
08.06.2006 17:37 159 wiadebug.log
08.06.2006 17:37 50 wiaservc.log
04.06.2006 11:55 16 odbctrp.ini
04.06.2006 10:52 14.999 tabletoc.log
04.06.2006 10:52 1.355 imsins.log
04.06.2006 10:52 134.446 tsoc.log
04.06.2006 10:52 106.305 comsetup.log
04.06.2006 10:52 343.022 iis6.log
04.06.2006 10:52 62.752 ntdtcsetup.log
04.06.2006 10:52 3.445 KB833407.log
04.06.2006 10:52 50.129 netfxocm.log
04.06.2006 10:52 10.393 ocmsn.log
04.06.2006 10:52 151.245 ocgen.log
04.06.2006 10:52 14.184 msgsocm.log
04.06.2006 10:52 283.575 FaxSetup.log
04.06.2006 10:52 93.458 msmqinst.log
01.06.2006 17:39 13.263 LUINSTALL.LOG
31.05.2006 18:51 923 spupdsvc.log
31.05.2006 18:32 1.374 imsins.BAK
31.05.2006 18:32 51.498 KB899587.log
31.05.2006 18:32 21.214 updspapi.log
31.05.2006 18:32 50.607 KB896422.log
31.05.2006 18:32 51.947 KB885835.log
31.05.2006 18:31 48.000 KB885836.log
31.05.2006 18:31 48.810 KB911927.log
31.05.2006 18:31 665 xpsp1hfm.log
31.05.2006 18:31 41.911 KB835732.log
31.05.2006 18:30 43.713 KB901017.log
31.05.2006 18:30 42.538 KB911565.log
31.05.2006 18:30 43.925 KB899591.log
31.05.2006 18:29 45.569 KB896424.log
31.05.2006 18:29 44.457 KB893756.log
31.05.2006 18:29 43.399 KB911562.log
31.05.2006 18:29 42.006 KB896423.log
31.05.2006 18:28 33.798 KB912812-IE6SP1-20060322.182418.log
31.05.2006 18:28 37.192 KB873339.log
31.05.2006 18:28 30.936 KB914798.log
31.05.2006 18:27 37.681 KB888113.log
31.05.2006 18:27 37.820 KB896358.log
31.05.2006 18:26 32.021 KB910437.log
31.05.2006 18:26 33.537 KB905495.log
31.05.2006 18:26 26.683 KB911564.log
31.05.2006 18:26 39.136 KB902400.log
31.05.2006 18:25 28.033 KB891781.log
31.05.2006 18:25 2.064 vminst.log
31.05.2006 18:25 28.955 KB890046.log
31.05.2006 18:24 27.659 KB899589.log
31.05.2006 18:24 18.469 KB904706.log
31.05.2006 18:24 27.499 KB905414.log
31.05.2006 18:24 26.707 KB901214.log
31.05.2006 18:24 24.666 KB892944.log
31.05.2006 18:23 26.026 KB888302.log
31.05.2006 18:23 30.220 KB900725.log
31.05.2006 18:23 25.401 KB912919.log
31.05.2006 18:23 15.924 KB911567-OE6SP1-20060316.165634.log
31.05.2006 18:22 23.696 KB908531.log
31.05.2006 18:22 20.352 KB905749.log
31.05.2006 18:22 20.909 KB913580.log
31.05.2006 18:21 18.221 KB896428.log
31.05.2006 18:21 15.224 KB835409.log
31.05.2006 18:21 18.563 KB908519.log
31.05.2006 18:20 12.513 KB913446.log
31.05.2006 18:20 19.579 KB890859.log
31.05.2006 18:12 522 ODBC.INI
30.05.2006 17:54 1.409 QTFont.for
28.05.2006 13:18 3.418 mozver.dat
28.05.2006 12:57 5.678 KB842773.log
28.05.2006 12:57 6.025 KB893803v2.log
28.05.2006 12:56 7.006 KB898461.log
26.05.2006 22:45 85.299 wmsetup.log
26.05.2006 22:34 155 winamp.ini
26.05.2006 21:58 231 wmsetup10.log
26.05.2006 18:06 49 transp.gif
26.05.2006 17:10 487 win.ini
26.05.2006 17:09 316.640 WMSysPr9.prx
26.05.2006 17:09 299.552 WMSysPrx.prx
26.05.2006 17:07 0 nsreg.dat
26.05.2006 17:07 107.134 UninstallFirefox.exe
26.05.2006 15:54 558 Windows Update.log
26.05.2006 15:22 0 Sti_Trace.log
26.05.2006 15:20 1.348 regopt.log
26.05.2006 15:20 231 system.ini
26.05.2006 15:20 0 setuperr.log
26.05.2006 15:11 78.218 DirectX.log
26.05.2006 15:07 1.442 COM+.log
26.05.2006 15:01 2.890 Ascd_tmp.ini
26.05.2006 14:46 829 OEWABLog.txt
26.05.2006 14:46 735.508 setuplog.txt
26.05.2006 14:34 8.192 REGLOCS.OLD
26.05.2006 14:31 0 control.ini
26.05.2006 14:31 4.161 ODBCINST.INI
26.05.2006 14:30 749 WindowsShell.Manifest
26.05.2006 14:28 1.060 sessmgr.setup.log
26.05.2006 14:28 37 vbaddin.ini
26.05.2006 14:28 36 vb.ini
26.05.2006 14:28 128 DtcInstall.log


Verzeichnis von F:\

20.06.2006 22:09 0 sys.txt
20.06.2006 22:09 7.529 system.txt
20.06.2006 22:08 7.597 systemtemp.txt
20.06.2006 22:07 94.059 system32.txt
20.06.2006 21:56 805.306.368 pagefile.sys
5 Datei(en) 805.415.553 Bytes
0 Verzeichnis(se), 5.534.765.056 Bytes frei

[MO05]

Hallo,
hast du dich ohne laufende Firewall und ohne SP2 mit dem Internet verbunden? Hast du den Virenscanner als Hintergrundprozess als Wächter laufen lassen?

Das kann ich dir nicht genau sagen, da ich nich genau weiss für was SP2 steht aber eig. ist das Kapersky personal immer aktiviert.

[Holy Marcell]

Nikita:
3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Microsoft Windows Spooler Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

Machen.

MfG,

[MO05]

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 20.06.2006 23:11:37 for strings:
; 'microsoft windows spooler service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service]
"DisplayName"="Microsoft Windows Spooler Service"
"Description"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Spooler Service]
"DisplayName"="Microsoft Windows Spooler Service"
"Description"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service]
"DisplayName"="Microsoft Windows Spooler Service"
"Description"="Microsoft Windows Spooler Service"

; End Of The Log...

[Nikita]

1.
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service

Files to delete:
F:\WINDOWS\system32\taskmngr.exe
F:\WINDOWS\system32\TFTP512
F:\WINDOWS\system32\TFTP216
F:\WINDOWS\system32\TFTP520
F:\WINDOWS\system32\TFTP420

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was erscheint

**

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [Task manager] taskmngr.exe
O4 - HKLM\..\RunServices: [Task manager] taskmngr.exe
O4 - HKCU\..\Run: [Task manager] taskmngr.exe
O23 - Service: Microsoft Windows Spooler Service - Unknown - F:\WINDOWS\services.exe

PC neustarten

**
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

[MO05]

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\urrvuxcs

*******************

Script file located at: \??\F:\WINDOWS\iusfbfva.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Spooler Service deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service
Status: 0xc0000034



File F:\WINDOWS\system32\taskmngr.exe not found!
Deletion of file F:\WINDOWS\system32\taskmngr.exe failed!

Could not process line:
F:\WINDOWS\system32\taskmngr.exe
Status: 0xc0000034

File F:\WINDOWS\system32\TFTP512 deleted successfully.
File F:\WINDOWS\system32\TFTP216 deleted successfully.
File F:\WINDOWS\system32\TFTP520 deleted successfully.
File F:\WINDOWS\system32\TFTP420 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[Nikita]

**
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport