C:\WINDOWS\services.exe + fservice.exe / Troj/Prorat |
||
---|---|---|
#0
| ||
21.05.2005, 10:31
...neu hier
Beiträge: 9 |
||
|
||
21.05.2005, 13:40
Member
Beiträge: 291 |
#2
Der Rechner kackt dir jedesmal ab, weil services.exe ein Systemprozess ist. Besteht aber eigentlich aus mehreren einzelnen Prozessen. Glaub ich zumindest. Kann sein das das, was dir HijackThis anzeigt bloß ein Fehlalarm ist. Gibt aber auch Viren, die sich in diesem Prozess "verstecken".
|
|
|
||
21.05.2005, 13:55
Member
Beiträge: 1132 |
#3
Hallo Cody,
c:\windows\services.exe = Troj/Legmir-E http://www.sophos.de/virusinfo/analyses/trojlegmire.html ist ein Keylogger. Den könnte man recht leicht wieder entfernen. C:\WINDOWS\system32\services.exe ist ein legitimer Prozess! Aber Du hast anscheinend die HJT Log-Auswertung nicht ganz zu Ende gelesen. Da ist noch ein Problem. Und das ist ein ganz anderes Kaliber! C:\WINDOWS\system32\fservice.exe = Troj/Prorat-I http://www.sophos.de/virusinfo/analyses/trojprorati.html ein Backdoor Trojaner, der Dein System kompromittiert hat. Imho wäre es die sauberste Lösung, wenn Du Dein System neu aufsetzen würdest und, vor allem, alle Deine Passwörter sofort änderst. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
22.05.2005, 10:13
...neu hier
Themenstarter Beiträge: 9 |
#4
ne ich kann das nicht machen mein system neu aufsetzten ab mal was dagegen gemacht!
neues hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 10:12:20, on 22.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Trojancheck 6\tcguard.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Rico\Desktop\s-t-i-n-g-e-r.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Rico\Desktop\hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hackdevilspage.de.vu/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Anti-Hacker] C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing) ich hoffe es sieht besser für mich aus !??? danke Cody |
|
|
||
22.05.2005, 10:32
Member
Beiträge: 1132 |
#5
Hi Cody,
das Log sieht jetzt sauber aus. Nur, du weißt halt nicht, was der Backdoor bereits mit Deinem System angerichtet hat. Wenn Du damit leben willst oder aus irgendwelchen Gründen musst- na gut! Ist Deine Entscheidung. Das Einzige was ich da noch empfehlen kann ist, das volle Programm wie in http://board.protecus.de/t16317.htm und http://board.protecus.de/t9373.htm beschrieben! Insbesondere mit eScan Dein System scannen und alles, was als "infected" gefunden wird, mit der Killbox zu löschen. Desweiteren einige Online Scans durchführen: Symantec http://security.symantec.com/default.asp? f-secure http://support.f-secure.com/enu/home/ols.shtml McAfee FreeScan www.mcafee.com/myapps/mfs/default.asp Trend-Micro http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php BitDefender www.bitdefender.com/scan/Msie/index.php Panda http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
22.05.2005, 18:35
Ehrenmitglied
Beiträge: 29434 |
#6
Troj/Prorat-I
Start<Ausfuehren<regedit loesche , falls es noch da ist: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run loesche mit rechtsklick: DirectX For Microsoft® Windows = C:\WINDOWS\system32\fservice.exe <HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = Explorer.exe \\\ loesche diesesn Eintrag mit rechtsklick: C:\WINDOWS\system32\fservice.exe <HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\ loesche: (5Y99AE78-58TT-11dW-BE53-Y67078979Y)\ StubPath = "C:\WINDOWS\system32\sservice.exe" •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\windows\system32\fservice.exe.bat C:\windows\services.exe C:\windows\system32\sservice.exe C:\windows\system32\fservice.exe C:\windows\system32\wininv.dll C:\WINDOWS\System32\reginv.dll C:\windows\system32\winkey.dll neustarten + Onlinescans machen+ berichten http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.05.2005, 21:28
...neu hier
Themenstarter Beiträge: 9 |
#7
hab heute nacht mal kaspersky( escan ist von kaspersky) hat um die 16trojaner gefunden*fg* die ganzen system32 sachen sind verschwunden glaub die hab ich schon mit kaspersky gelöscht werde heute kasper noch mal im abgesicherten modus laufen lassen!!!
online scan sagt auch alles ist okay^^ pws und so hab ich auch geändert -.- danke für eure hilfe MfG Cody |
|
|
||
22.05.2005, 21:55
Member
Beiträge: 1132 |
#8
Hi Cody,
Zitat escan ist von kasperskyDa wird MicroWorld nicht ganz damit einverstanden sein. eScan benutzt die Kaspersky-Engine bei der Virensuche, ist aber sonst ein eigenständiges Programm. Nachdem Dein System (mehr oder weniger) gereinigt ist, sollte sich für Dich nur noch die Frage stellen: wodurch und wohin. Wodurch kam diese Infektion und wie kann ich sowas in Zukunft vermeiden? Infos zur Vermeidung von Infektionen gibt es reichlich hier im Board. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 22.05.2005 um 21:58 Uhr von Heron editiert.
|
|
|
||
22.05.2005, 23:31
...neu hier
Themenstarter Beiträge: 9 |
#9
ich weiß schon warum ich das hatte...
ich spiel so ein browsergames(insel-monarchie) und da hab ich mich mir jemanden gut verstanden naja nach 4tagen hab ich denn mal mit jemand ganz langd geskypt und der andere wollte auch skypen und hat immer genervt und so naja er hat überhaupt nicht mehr aufgehört also hab ich ihn aus spaß mal seine insel rot gefärbt naja er hat nix gesagt hat mir ergenein prog geschickt und ich sollte es mal auf machen da ich ihn vertraue hab ich es gemacht naja war ein fehler er hat mich den auch gehackt und so naja ich mach jetzt nix mehr auf ohne es mal zu scanen kaspersky ist bei mir immer aus weil der echtzeit schutzt zu viel schlugt mein pc hat nur 265mb arbeitsspeicher und denn kann ich nix mehr machen ist auch immer alles okay gewesen jede nacht einmal den scan gestartet wen ich mal zu ein freund geh las ich ad-ware oder was anderes laufen naja hat nie probs mit so was er hat mir den gesagt ich lass mich nicht einfach so angreiffen ich so glaubst du ich greiff ein privat bundniss von mir an?? naja hab ihn klar gemacht das ich nicht so ein Ars..*patsch* wie er bin naja er fand es lustig und hat mich ausgelacht!!! ich hasse so ne typen man große fress hinterm pc aber in echt sind das so ne schisser!!! naja mein system ist schon sicher^^ danke für eure hilfe werde denn heute abend escan laufen lassen^^ wie kann man eigentlich die temporary internet files löschen wen ich ein scan macht braucht der da immer voll lange -.- ist bestimmt wegen mein online game^^ ergenwie wird da jeder klick den ich da macht gespeichert und ich klick über 800mal am tag^^ MfG Cody |
|
|
||
23.05.2005, 00:48
Ehrenmitglied
Beiträge: 29434 |
#10
CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.05.2005, 17:34
...neu hier
Themenstarter Beiträge: 9 |
#11
danke hab ich gemacht^^
bei den ganzen tools ist ein tool das heiss kill2me.exe was macht daS? MfG Cody |
|
|
||
23.05.2005, 23:50
Ehrenmitglied
Beiträge: 29434 |
||
|
||
30.11.2008, 15:48
...neu hier
Beiträge: 1 |
#13
hallo,
bei mir wird tritt beim hochfahren die fehlermeldung c:\windows\system32\fservice.exe konnte nicht gefunden werden auf. hier mein HijackThis v2.0.2 Logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:34:36, on 30.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Panda Security\Panda Internet Security 2009\TPSrv.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\PROGRAMME\PANDA SECURITY\PANDA INTERNET SECURITY 2009\WebProxy.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Panda Security\Panda Internet Security 2009\PsCtrls.exe C:\Programme\Panda Security\Panda Internet Security 2009\PavFnSvr.exe C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe C:\Programme\Panda Security\Panda Internet Security 2009\PsImSvc.exe C:\Programme\Panda Security\Panda Internet Security 2009\PskSvc.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\SatSrv.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Panda Security\Panda Internet Security 2009\pavsrv51.exe C:\Programme\Panda Security\Panda Internet Security 2009\AVENGINE.EXE c:\programme\panda security\panda internet security 2009\firewall\PSHOST.EXE C:\WINDOWS\Explorer.exe C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\S3trayp.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Panda Security\Panda Internet Security 2009\APVXDWIN.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\CD_Load.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Panda Security\Panda Internet Security 2009\SRVLOAD.EXE C:\WINDOWS\system32\cidaemon.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Azureus\Azureus.exe C:\Programme\Panda Security\Panda Internet Security 2009\PavJobs.exe C:\Program Files\Mr Blacks firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Panda Security\Panda Internet Security 2009\avciman.exe C:\Programme\Panda Security\Panda Internet Security 2009\psimreal.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: QXK Olive - {E7E4053B-FD23-448B-842F-793DD49AA53C} - (no file) O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O3 - Toolbar: rosqxvmn - {E01D0ACE-25AC-4353-87EF-6CB2B368E3C7} - (no file) O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Internet Security 2009\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Internet Security 2009\Inicio.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Cydoor] CD_Load.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Alle &Videos mit BitComet herunterladen - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download All Links with IDM - C:\Programme\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download with IDM - C:\Programme\Internet Download Manager\IEExt.htm O8 - Extra context menu item: Mit BitComet herunter&laden - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - C:\Programme\SmartWhois\swmsie.exe O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\Programme\SmartWhois\swmsie.exe O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - C:\Programme\SmartWhois\swmsie.exe O20 - AppInit_DLLs: karna.dat O21 - SSODL: ngwstxfd - {4A6179A4-8C68-4BBC-98F1-E8FC0453F9B1} - C:\WINDOWS\ngwstxfd.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing) O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: SecurStar DCPP 3.81+ Service (DCPP2Svc) - Unknown owner - C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Unknown owner - C:\Programme\Nero\Nero 7\InCD\NBHRegInCDSrv.exe (file missing) O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\PsCtrls.exe O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\PavFnSvr.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Programme\Gemeinsame Dateien\Panda Security\PavShld\pavprsrv.exe O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\pavsrv51.exe O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda security\panda internet security 2009\firewall\PSHOST.EXE O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\PsImSvc.exe O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\PskSvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: Steganos AntiTheft - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Programme\Panda Security\Panda Internet Security 2009\TPSrv.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 12672 bytes Danke für hilfe |
|
|
||
ich hab ein prob mit service.exe(sie wird bei hijackthis als böse angezeigt -.- aber man kann sie nicht löschen die kommt immer wieder) die exe ist im windows ordner und nicht oin s32 ordner und immer wen ich den prozess mir killbox oder so löschen will kackt mein system ab -.-
Logfile of HijackThis v1.99.1
Scan saved at 10:29:29, on 21.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\services.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Rico\Desktop\hijack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Anti-Hacker] C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
ich hoffe ihr könnt mir helfen schon mal ein dickes thx*gg*
MfG
Cody