Win32.Sober.N@mm - Wie kann ich den Wurm komplett löschen?

#1 Wie kann ich die services.exe löschen? (windows/system32)

Habe bereits in der Registry zipped.wrm, maddys.xyz und die image patchs von der services.exe gelöscht.


Logfile of HijackThis v1.99.1
Scan saved at 19:19:48, on 18.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Statusfenster für Canon iR1510-1670.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4LAK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe
O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

#2 Eine services.exe gehört zu Windows. Und zwar liegt diese Services.exe im Verzeichnis c:\windows\system32

Ich an Deiner Stelle würde nicht versuchen, genau diese Datei zu löschen, es sei denn, Du möchtest Windows nicht mehr starten können.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 das hab ich mir schon fast gedacht. *grummel* Aber was soll ich machen, ich habe bereits G Data, AntiVir und Spybot drüber laufen lassen. Findet aber nix.

#4 Mache einen Scan mit eScan und berichte. Das HJT-Log sieht schon gut aus. Womöglich bist Du den Wurm schon komplett los.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 so hab eben den escan durchlaufen lassen. wenn ich die MWAV-Datei öffne, sagt er mir, dass es keine Dateien zu löschen gibt. Gut und schön, aber das Proggi hat geschrieben, dass ein Virus drauf ist. Wie lösche ich den denn jetzt?

(aus der Virus-Log-Information: )
Object "cws.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe\Photoshop Album\Kataloge\My Catalog.psa". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\AXDist.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\ACD Systems\ACDSee\7.0\ACDSee.sip". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{1B53F360-9A1B-1069-930C-00AA0030EBC8}" refers to invalid object "C:\WINDOWS\system32\hypertrm.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{88895560-9AA2-1069-930E-00AA0030EBC8}" refers to invalid object "C:\WINDOWS\system32\hticons.dll". Action Taken: No Action Taken.
Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.
Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.


(aus der View-Log-Datei: )
Thu Aug 18 20:44:54 2005 => Total Objects Scanned: 72181
Thu Aug 18 20:44:54 2005 => Total Virus(es) Found: 1
Thu Aug 18 20:44:54 2005 => Total Disinfected Files: 0
Thu Aug 18 20:44:54 2005 => Total Files Renamed: 0
Thu Aug 18 20:44:54 2005 => Total Deleted Objects: 0
Thu Aug 18 20:44:54 2005 => Total Errors: 9
Thu Aug 18 20:44:54 2005 => Time Elapsed: 00:19:16
Thu Aug 18 20:44:54 2005 => Virus Database Date: 2005/08/18
Thu Aug 18 20:44:54 2005 => Virus Database Count: 144307

Thu Aug 18 20:25:37 2005 => Options Selected by User:
Thu Aug 18 20:25:37 2005 => Memory Check: Enabled
Thu Aug 18 20:25:37 2005 => Registry Check: Enabled
Thu Aug 18 20:25:37 2005 => StartUp Folder Check: Enabled
Thu Aug 18 20:25:37 2005 => System Folder Check: Enabled
Thu Aug 18 20:25:37 2005 => System Area Check: Disabled
Thu Aug 18 20:25:37 2005 => Services Check: Enabled
Thu Aug 18 20:25:37 2005 => Drive Check: Disabled
Thu Aug 18 20:25:37 2005 => All Drive Check :Enabled
Thu Aug 18 20:25:37 2005 => Folder Check: Disabled

#6 Ja, escan ist manchmal ein bisschen unfunktional und wertet auch Dateien als Viren, die keine Viren sind. Offensichtlich hast Du CoolWebSearch auf Deinem PC (oder zumindest Bestandteile davon).

Nutze den CWShredder und reinige anschließend Dein System nochmal mit Spybot S&D.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 Hallo@Steffi K

Versuche es mit Onlinescans
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Ich würde auch die Registry von RegCleanern säubern lassen. Nachdem irgendwelche Viren manuell gelöscht wurden, verbleiben oftmals Spuren (auch harmlose, welche eben nur zumüllen). Weswegen du folgenden Schritt auch mal noch durchführen kannst:


RegCleaner

hier gibt's das Tool zum Download
Installiere den RegCleaner wie jedes andere Programm und starte ihn danach, akzeptiere die Lizenzbedingungen und du solltest dich auf der Programmoberfläche befinden. Wähle nun zuerst:
Options >> Language >> Select Language >> und wähle die "deutsch.rlg" aus um das Tool auf Deutsch umzustellen.
Danach gehe auf:
Tools >> Registry säubern >> verwaiste Einträge finden
Das Programm fängt an deine Registry zu durchsuchen, im Anschluss an die Suche erhälst du eine Übersicht der gefundenen Einträge. Markiere sie und entferne sie mit dem Button [markierte entfernen] (unten rechts im Fenster des Tools). Keine Sorge, der RegCleaner erstellt ein Backup.


Aber natürlich nur ergänzend zu Sabinas Vorschlag, Online Scans würde ich an deiner Stelle auch auf jeden Fall durchführen!
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#9 @managor
danke für die tipps.
der cwshredder hat "cwsmsconfig" gefunden. habe ich entfernt.
der spybot findet immer nur "windows security center.AntiVirusOverride". ich war mir aber nicht sicher, deshalb habe ich es nicht gelöscht.

escan findet immer diese datei "cws.therealsearch Spyware/Adware". weißt du wie ich die entfernen kann? mit dem cwshredder bzw. spy sweeper funktioniert es nicht, die finden nix.

@sabina
danke für den link, aber die programme finden leider auch nix. da muss aber was auf dem rechner drauf sein, weil er extrem langsam ist und eine ewigkeit braucht bis er hoch gefahren ist. unten rechts in der taskleiste sind außerdem immer schwarze kästchen und antiviren-programme laufen auch nicht korrekt. bin deshalb auch die ganze zeit im abgesicherten modus.

@malkesh
danke ... werd ich gleich mal ausprobieren.

#10

Zitat

der spybot findet immer nur "windows security center.AntiVirusOverride". ich war mir aber nicht sicher, deshalb habe ich es nicht gelöscht.

Repariere auch das!

Dass Dein PC nicht richtig hochfährt bzw. sehr langsam ist, kann auch andere Ursachen haben.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#11 Du hast zwei Virenscanner drauf. Wenn du zwei Virenscanner mit Hintergrundwächter gleichzeitig laufen hast, kann es durchaus passieren, dass der Computer sehr langsam ist, langsam oder auch gar nicht mehr bootet, oder täusch ich mich da?

Zitat

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe
O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

#12 und nimm noch aus dem Autostart:

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
__________
MfG Sabina

rund um die PC-Sicherheit

#13 @malkesh
mit dem reg-cleaner hat es zunächst geklappt. sah gut aus und pc ist auch schneller hochgefahren als sonst.

@managor
hab das "windows security center" mit spybot repariert.

@vfgt
hab den AntiVir-Wächter deaktiviert. hast recht, dass system fährt viel schneller hoch.

@sabina
den eintrag hab ich nicht mehr gefunden, auch mit hijack nicht. ist vielleicht schon andersweitig rausgeflogen.

@all
system lief nach all der scannerei und reparaturmaßnahmen wieder gut, also die performance war wie vorher. das war der stand vom freitag, heute sind leider wieder diese verdammten schwarzen kästchen aufgetaucht und auch die geschwindigkeit war miserabel.

naja nur zur information, hab die festplatte jetzt formatiert und bin dabei alles wieder neu zu installieren *grummel*

danke nochmal für eure hilfe und ratschläge