Kryptische Dienste im Autostart
 

Vor einiger Zeit ist mir in msconfig unter "Dienste" ein Dienst aufgefallen mit einem komischen Namen: "scmbwankii". Natürlich sofort aus dem Autostart gelöscht. Der Dienst lief nicht mehr und die Systemverwaltung konnte ihm keine Datei zuordnen.
Mittlerweile folgten nun zwei weitere dieser Dienste: "Rasvc0u" und "Mousciat5fhtn". Mit diesen Diensten verhielt es sich wie mit dem ersten. Sie liefen nicht mehr, als ich sie entdeckte und die Systemverwaltung ordnete ihnen keine EXE zu.

Der Virenscanner der noch bis vor kurzem lief (War der Kaspersky 4.5 von der PC-Welt, leider ist die Lizenz abgelaufen), hat mir nie eine Meldung ausgegeben.

Diese Dienste, mit einem anscheinend Zufallsgenerierten Namen machen mir schon etwas Sorgen, muss ich gestehen.

Hat jemand eine Idee, was das ist?

P.S.: Habe Windows XP Pro SP2

Re: Kryptische Dienste im Autostart
 

Die Namen sind EXE-Namen, sie werden irgendwo auf deinem Rechner liegen. Bemüh mal die WIndows-Dateisuche.

Re: Kryptische Dienste im Autostart
 

Lass mal Spybot S&D drüberlaufen. Evtl. sag der dir welchen "Internet-Enhancer" du dir eingefangen hast/hattest.

Re: Kryptische Dienste im Autostart
 

Leider kein Erfolg.

Ich hab schon Lavasofts AdAware laufenlassen und es wurde nichts gefunden. Probier ich mal mit SpyBot.

Re: Kryptische Dienste im Autostart
 

Ich würde folgendes Vorschlagen:
Alle ungekannten/verdächtigen Einträge mittels Spybot deaktivieren. Rechner neustarten und testen ob alles paßt und anschließend Einträge löschen. Und die Immunisierungsmöglichkeinte von Spybot aktivieren.
Musste erst am Montag einen Rechner entwanzen (Trotz aktiven Virenscanner!!!).

Re: Kryptische Dienste im Autostart
 

du findest die exe vielleicht nicht, weil sie versteckt ist

schalte mal bei ordneroptionen "all dateien und ordner anzeigen" ein
und "geschützte systemdateien ausblenden" aus (vor allem 2. wichtig)

jetzt noch mal suchen

Re: Kryptische Dienste im Autostart
 

Oder lass mal HijackThis drüberlaufen und schau dir den Log an (kannst ihn ja hier posten, aber ich bin auch kein Experte im deuten dieser Logs ;)). Der zeigt dir auch Dateien, die automatisch starten (wie einige dieser Prozesse).

Re: Kryptische Dienste im Autostart
 

So, hab jetzt mal SpyBot laufen lassen und es wurden 4 mal Spyware gefunden. Die Immunisierung habe ich schon vor einiger Zeit benutzt.
Ich lass auch grad die Testversion von Kaspersky 5.0 drüberlaufen (leider nur ein Tag lauffähig, aber für einmal scannen reicht es, zumal aktuelle Datenbestände benutzt werden :thumb:).
Bisher wurden ein 4 JS-Viren im Opera Cache gefunden, ich glaub aber nicht, dass die aktiv gewesen sind.

Leider kann ich nicht direkt nachprüfen, ob das Problem jetzt gelöst ist. Das wird mir die Zeit verraten.

Danke für den Rat, aber das ist das erste, was ich nach einer Windowsinstallation mache :wink:.


Die Einträge in der Systemverwaltung sind immer noch da und wollen anscheinden auch nicht wieder verschwinden :?

Re: Kryptische Dienste im Autostart
 

IIch hoffe, du willst das System so wie es jetzt ist nicht weiter einsetzten? Es wurde eindeutig kompromitiert und da gibt es nur eine Lösung: format c:\
Siehe dazu auch das:
http://www.microsoft.com/technet/com...mt/sm0504.mspx
und das:
http://oschad.de/wiki/index.php/Kompromittierung

Re: Kryptische Dienste im Autostart
 

Luckies trockener Kommentar hat mich irgendwie ziemlich ins Schwitzen gebracht. Also bin ich kein Risiko eingegangen und hab die Windowspartition geputzt. Außerdem habe ich sämtliche Passwörter von Mailkonten etc. geändert. Als nun bei meinem Vater im Taskmanager plötzlich 50 ein Prozess namens drwatson32.exe (oder so ähnlich) auftauchte, der 52K Speicher belegte, dachte ich, dass das wohl kein dummer Zufall ist. Also hab ich jetzt den Server neu aufgesetzt und werden mir dann auch den Rechner von meinem Vater und die Rechner vom Rest der Familie vornehmen.

Und der ganze Aufwand nur wegen einer Vermutung der Kompromitierung :roll:. Naja, besser Vorsicht als Nachsicht. Ist mir das erste Mal passiert, sowas. Hoffentlich bleibts auch dabei...