[Bib]

Hi,
auf meinem System (WinXP SP2 mit allen Patches) läuft ein unbekannter Dienst OLEService.exe.

Kaspersky zeigt mir an, daß es ein Trojaner oder so sei, kann es aber nicht löschen. Ich finde nirgends im Internet etwas dazu.

Ist der OLEService wirklich gefährlich? Die Dateien liegen im Windows/System32 Ordner.

[flo]

Poste bitte mal ein Hijackthis.log

[Bib]

Bittesehr...

Logfile of HijackThis v1.99.1
Scan saved at 20:41:31, on 11.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\OLEService.exe
C:\NfsDream\Nfs\portmap.exe
C:\NfsDream\Nfs\nfs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\SiXPack.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\LClock\lclock.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
E:\Downloads\sonstige Programme\Security, Benchmark, Info usw\anti-spyware, -virus\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoriten
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SiXPack] SiXPack.exe /minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [S2kCtl] E:\Downloads\Security, Info, usw\s2kctl15b103\S2kCtl.exe
O4 - HKLM\..\Run: [SiXPack 5.1+] C:\WINDOWS\system32\SiXPack 5.1+.exe /minimize
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [LClock] C:\Programme\LClock\lclock.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.google.de
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141746547740
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE023A72-E3E5-4676-8054-062975DE87AF}: NameServer = 192.168.178.254
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: OLEService - Unknown owner - C:\WINDOWS\system32\OLEService.exe
O23 - Service: TrueGrid NFS Server - Unknown owner - C:\NfsDream\Nfs\nfs.exe
O23 - Service: TrueGrid Portmapper - Unknown owner - C:\NfsDream\Nfs\portmap.exe

[flo]

Lad die OLE...exe mal hier http://virusscan.jotti.org/ hoch unlass sie prüfen, poste das ergebniss bitte wieder, aber ich vermute da wird nix mehr zu retten sein

[Bib]

"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

kommt da und wenn ich sie im Explorer in ein anderes Verzeichnis kopieren will, dann gehts auch nicht.

Was ist denn diese Datei? Virus? Kann man die irgendwie entfernen?

[flo]

Kaspersky sagt es sei ein Trojaner?

Dann hilft nur Neuinstallieren.

[Bib]

Kaspersky hatte die Datei irgendwie gesperrt. Habs jetzt mal ausgeschaltet und dann die Datei hochgeladen:

Datei: OLEService.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
WWPACK32

AntiVir
Keine Viren gefunden
ArcaVir
Trojan.Clicker.Delf.Fh gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Trojan.Clicker.Delf.FH gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.Click.955 gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
AdClicker.I!tr gefunden
Kaspersky Anti-Virus
Trojan-Clicker.Win32.Delf.fh gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Trojan-Clicker.Win32.Delf.fh gefunden

[flo]

Also wenn Bitdefender und Kaspersky was finden dann ist das ziehmlich sicher das es das ist.

Wirst wohl nicht um Neuinstallieren rumkommen.

[Bib]

Ich hab jetzt mal den Eintrag mit Hijackthis gefixt, neu gestartet und danach konnte Kaspersky die Datei löschen.

Kann ichs dann nicht so lassen, wenn der Trojaner gelöscht wurde? Kaspersky findet nichts mehr...

[ShadowHunter]

Zitat (Bib: 11.04.2006, 21:29)

Kann ichs dann nicht so lassen, wenn der Trojaner gelöscht wurde? Kaspersky findet nichts mehr...

Naja, normal kannst du nie sicher sagen, ob der Schädling sich nicht noch weiter in das System integriert hat oder ähnliches, normal wäre eine Neuinstallation ratsam und am sinnvollsten.
Siehst auch im Stick von Rika zu Kompromittierung und Malware

[Bib]

Eigentlich müsste ich dann aber alle meine Partitionen löschen, oder? Hab Windows und Programme auf C: installiert und auf D: meine ganzen Daten abgelegt. Das wäre ja dann nicht gut, wenn ich da dann auch alles löschen müsste... Neuinstallieren wäre kein Problem.

[ShadowHunter]

Ich DENKE mal es sollte C: reichen, kann nur sein, dass mich die besser informierten leute hier gleich korrigieren 8)
Deine Dateien sollten normal nicht betroffen sein, wobei das auch nicht zu 100% bestätig bar ist, warum ich immer mal einiges auf dvd/externe platte sichere.

[Graumagier]

ShadowHunter sagte:

Ich DENKE mal es sollte C: reichen

C: kann reichen, wenn du auf D: absolut keine gefährdeten Dateien haben solltest (keine ausführbaren Dateien, Microsoft-Office-Dateien) etc. "Sichere" Inhalte können meist problemlos übernommen werden, Executables wirft man gleich weg, Office-Dokumente öffnet man mit OpenOffice und speichert sie wieder ab.