service.exe macht probleme - aber wie krieg ichs weg?

[aaaaaaaa]

service.exe (ohne S - also NICHT services.exe) nimmt bei mir oft 99% der CPU-Lesitung ein. Die automatische logfileauswertung sagt mir auch, dass es böse ist (Trojaner) - aber wie kann ich die datei entfernen?

Logfile of HijackThis v1.99.1
Scan saved at 18:46:12, on 07.09.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\service.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\WINNT\TBPanel.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINNT\System32\DeltTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\E-Color\Common\IconMgr.exe
C:\Programme\MSI\PC Alert 4\PCAlert4.exe
C:\Programme\E-Color\E-Color Indicator\TICIcon.exe
C:\Programme\Kerio\Personal Firewall\PFWADMIN.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINNT\system32\svchost.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX02.110\HijackThis.e xe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.popperschule.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Gainward] C:\WINNT\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINNT\System32\DeltTray.exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Startup: TU-ADSL.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: E-Color.lnk = C:\Programme\E-Color\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{40ABB7BF-4BBA-495D-935F-BCEA7604BA24}: NameServer = 128.130.2.3 128.130.3.131
O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: RDFLabel - Unknown owner - C:\Programme\ICRAplus\RDFLabel\RDFLabel.exe
O23 - Service: Windows Service Manager (WSCM) - Unknown owner - C:\WINNT\System32\service.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe

[troja]

Hallo aaaaaaaa und herzlich willkommen im HijackThis Support Board.
Schön, dass du zu uns gefunden hast.

Das Programm HijackThis muss in einem eigenen Ordner laufen, um Backups erstellen zu können.
Das ist wichtig, damit versehentlich gefixtes wiederhergestellt werden kann.
Bei dir läuft er aber hier:
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX02.110\HijackThis.e xe
Wünschenswert wäre:C:\Programme\HijackThis\HijackThis.exe

Zum anderen ist dein Internetexplorer sowie Java veraltet.
Der IE muss aktuell sein, auch dann, wenn du ihn nicht verwendest. Alle Software auf einem System MUSS auf dem aktuellen Stand sein, sonst hat das System Lücken, durch die Malware eindringen kann.
Aber bitte nicht jetzt updaten. Warte damit, bis du von uns Anweisung dazu erhälst.

Um weitere Informationen über dein System zu erhalten, erstelle bitte eine filelist.
Halte dich dabei an folgende Anleitung:

1. Download von filelist.zip auf deinen Desktop
2. Entpacke das Programm auf dem Desktop
3. Starte nun mit einem Doppelklick auf die Datei filelist.bat das Stapelverarbeitungsprogramm
4. Es öffnet sich nun dein bevorzugter Editor (Textprogramm)
5. Markiere den gesamten Inhalt und wähle kopieren, füge nun alles hier in deinem Beitrag ein
6. Formatiere nun deinen Beitrag, es sollten von jedem Ordnerinhalt nur die letzten 30 Tage im Logfile verbleiben, den Rest löschen!

• Dies sind die Verzeichnisse, von denen wir jeweils die letzten 30 Tage sehen möchten:
  Verzeichnis von C:\
  Verzeichnis von C:\WINDOWS\system32
  Verzeichnis von C:\WINDOWS
  Verzeichnis von C:\WINDOWS\Prefetch
  Verzeichnis von C:\WINDOWS\tasks
  Verzeichnis von C:\WINDOWS\Temp
  Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
• 
  Ein großes Dankeschön für die filelist.bat an unseren Moderator karl83(Anleitung)

# bitte das Log in Code- Tags setzen
Es erleichert uns die Auswertung.
schreibe so: (Code), dann das was gepostet werden soll einfügen schreibe wieder(/Code).
Dabei ist es aber wichtig, die
runden Klammern ( ) durch eckige [ ] zu ersetzen.
Das Ergebnis sieht dann so aus:

Code:

("hier sieht man dann das, was du uns posten willst!")

Wenn diese Ergebnisse vorliegen, wird sich einer unserer Experten deiner annehmen.

Danke und viel Erfolg ( es wird schon)
Troja

Ach ja und noch eins:

-----------------------

Bitte den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist. Bis zu einer eventuellen Reinigung oder dem Formatieren deines Systems kein Online-Banking, File-sharing, Mailing, Messaging betreiben. Keine Up und Downloads, ausser auf Security Seiten.
Mehr Information hierzu unter System-Sicherheit

-----------------------