|
Log-Analyse und Auswertung: Troja ist da - bitte Hilfe!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.05.2006, 17:33 | #1 |
| Troja ist da - bitte Hilfe! Hallo! Ich habe einen Trojaner auf meinem System. Es handelt sich um eine Variante des PSW.Gamania.CH. Er installiert sich beim Systemstart in ein beliebiges Verzeichnis unter c:\Windows als Datei iexplorer.exe und will ständig eine Verbindung über den Internet Explorer (den ich nicht benutze!) zu dubiosen Websites aufbauen. Ich kann den Prozess manuell schließen und habe dann erst mal Ruhe, aber ich weiß nicht, wo die eigentliche Startroutine ist, um sie zu killen. Ich habe bei einer anderen Variante nachgelesen, daß ein Eintrag in der Registry die Installation auslöst, konnte diesen aber nicht finden. Auch die Logdatei, die erstellt werden soll ist nicht da (hab aber auch das Spiel nicht, dessen Daten angeblich auspioniert werden). Ich weiß, eigentlich sollte ich das System neu aufsetzen, aber ich bastele gerade an einem neuen PC rum, der der je nach finanziellen Mitteln hoffentlich in den nächsten Wochen fertig wird, also würde ich mir die Tortur gern ersparen und das Ding einfach nur lahmlegen. Kann mir igendwer weiterhelfen? Noch eine Frage dazu: C:\WINDOWS\system32\svchost.exe Warum taucht das mehrmals auf? Als Prozess läuft es nur 1x. Hat das evt. was damit zu tun? Bea -------------hier die Auswertung------------------- Logfile of HijackThis v1.99.1 Scan saved at 18:14:49, on 07.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\srchasst\IEXPLORE.EXE - das isser! C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\2kadiras.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\htpatch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\atwtusb.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Steganos AntiSpam 7\antispam.exe C:\Programme\Steganos AntiDialer 7\guard.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\system32\TBLMOUSE.EXE C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe C:\Programme\Steganos Personal Firewall 7\KAVPF.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Netscape\Netscape\Netscp.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP OfficeJet Series 500] "C:\Programme\Hewlett-Packard\HP OfficeJet Series 500 NT\bin\ktchnsnk.exe" -reg "Software\Hewlett-Packard\OfficeJet Series 500\Install" O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Steganos AntiVirus 7\kav.exe /minimize O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SteganosAntiSpam] "C:\Programme\Steganos AntiSpam 7\antispam.exe" O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe" O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O4 - Global Startup: Steganos Personal Firewall 7.lnk = ? O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .htm: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.de/de/de/tools/activex/fpu.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe O23 - Service: kavsvc - Kaspersky Labs - C:\Programme\Steganos AntiVirus 7\kavsvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe ----------------------------------------- |
07.05.2006, 17:53 | #2 | |||
| Troja ist da - bitte Hilfe! @octopus001
__________________Zitat:
Zitat:
Zitat:
Also zurück: Klappt es mit dem Löschen, nachdem als Dienst beendet wird? Im abgesciherten Modus vllt.? |
07.05.2006, 18:38 | #3 | |||
| Troja ist da - bitte Hilfe!Zitat:
Zitat:
Zitat:
Was mach ich jetzt? Ist ja auch keine Lösung, jedesmal zu warten, bis der Trojaner startet, ihm den Zugriff manuell zu verweigern, den Prozess zu löschen und danach die Datei zu löschen. Wie kann ich herausfinden, wo die Routine steckt, die die regelmäßige Neuinstallation auslöst? Bea |
07.05.2006, 20:46 | #4 |
| Troja ist da - bitte Hilfe! Also ich würd ja erstmal versuchen den mit HighjackThis zu fixen... Wenn das nich geht versuchs mit Killbox!! Bei Killbox beachten: Nimm "Delete On Reboot" Dann würde ich mir nochmal den angucken: O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe Versuch den am besten auch noch mit HighjackThis zu fixen Mfg, Killburn |
07.05.2006, 20:57 | #5 | |
| Troja ist da - bitte Hilfe!Zitat:
Er hat gesagt das File wird nach jedem Start in ein anderes Verzeichnis erstellt. DirectX sollte eigentlich nicht als Prozess gestartet werden .. mhh .. ich sehs mir auch mal an. mfg, Markus Geändert von Markus1234 (07.05.2006 um 21:04 Uhr) |
07.05.2006, 20:58 | #6 | |
| Troja ist da - bitte Hilfe!Zitat:
Killbox kenn ich noch nicht, aber auch da muß ich vermutlich sagen, was ich gekillt haben möchte? Wenn ich das nur wüßte ... Bea |
07.05.2006, 21:06 | #7 | |
| Troja ist da - bitte Hilfe!Zitat:
Bea |
07.05.2006, 21:10 | #8 |
| Troja ist da - bitte Hilfe! Soooo .. die directx.exe ist ziemlich sicher keine Systemdatei. Es handelt sich um eine Blaxe, Logpole oder Digits(sophos) Variante. Hier mal ein Versuch das Teil loszuwerden: Beende den Prozess IEXPLORE.EXE im Taskmanager Öffne HiJackThis, führe einen scan durch und Fixe folgenden Eintrag: O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe Nun downloadest du Killbox: http://www.downloads.subratam.org/KillBox.exe Öffne es und kopiere folgende Zeile rein: C:\WINDOWS\srchasst\IEXPLORE.EXE Klicke auf "Delete on Reboot" und danach auf das Rote Kreuz. Bestätige die Frage mit "No", also noch nicht neu Starten. Kopiere nun folgende Zeile in das Programm: c:\windows\system32\directx.exe Und klicke wieder "Delete on Reboot" und danach das Rote Kreuz. Diesmal kannst du auf Yes klicken und damit dein System neu Starten (sollst du ). Nun sollte das Ding eigentlich nimmer da sein - erstelle bitte ein neues HijackThis Logfile! mfg, Markus |
07.05.2006, 21:21 | #9 | |
| Troja ist da - bitte Hilfe!Zitat:
Was ist mit den folgenden Einträgen: O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe Was in aller Welt sind "Extra 'Tools' menuitem"? O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) Was soll WR sein, daß ich mich einlaggen soll/kann/muss? O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe Einfach mal in HJT killen und schauen, was passiert?? O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) Ich experimentiere eigentlich nicht mit sowas??? Bea |
07.05.2006, 21:34 | #10 | ||||
| Troja ist da - bitte Hilfe!Zitat:
Zitat:
Zitat:
Zitat:
|
07.05.2006, 21:38 | #11 |
| Troja ist da - bitte Hilfe! O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe Kannste mit Highjackthis fixen!! O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) Ist ok. Brauchste nichts machen!! O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe Den musste fixen ob mit HighjackThis oder mit Killbox!! O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) Hast du mal WinpCap installiert?? Wenn nich, löschen!! Ach ja und der "C:\WINDOWS\srchasst\IEXPLORE.EXE" ist bei mir auch wo föllig anders!! Kann ich aber nichts mir anfangen!! Mfg Killburn |
07.05.2006, 21:41 | #12 | |
| Troja ist da - bitte Hilfe!Zitat:
Sieht erst mal gut aus, außer das directx.exe jetzt als missing file aufgeführt wird. Irgendwo muß es also noch einen Link geben. Ich seh mir mal die Registry an, vielleicht ist da noch ein Verweis. Trotzdem erstmal vielen Dank, mir fällt ein Stein vom Herzen, daß ich nciht gleich alles neu aufsetzen muß, da wäre ich ein paar Tage beschäftigt gewesen. Bea -------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 22:33:49, on 07.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\2kadiras.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\htpatch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\atwtusb.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\system32\TBLMOUSE.EXE C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Steganos AntiSpam 7\antispam.exe C:\Programme\Steganos AntiDialer 7\guard.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe C:\Programme\Steganos Personal Firewall 7\KAVPF.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Netscape\Netscape\Netscp.exe D:\new downloads\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP OfficeJet Series 500] "C:\Programme\Hewlett-Packard\HP OfficeJet Series 500 NT\bin\ktchnsnk.exe" -reg "Software\Hewlett-Packard\OfficeJet Series 500\Install" O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Steganos AntiVirus 7\kav.exe /minimize O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SteganosAntiSpam] "C:\Programme\Steganos AntiSpam 7\antispam.exe" O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe" O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O4 - Global Startup: Steganos Personal Firewall 7.lnk = ? O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .htm: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.de/de/de/tools/activex/fpu.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe (file missing) O23 - Service: kavsvc - Kaspersky Labs - C:\Programme\Steganos AntiVirus 7\kavsvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe |
07.05.2006, 21:45 | #13 |
| Troja ist da - bitte Hilfe! DA ich nicht weiß um welchen SChädling es sich explizit handelt kann ich dir auch keine Sicherheit versprechen. Grundlegend gilt nach Backdoorbefall Neuaufsetzen. Daten sollten immer gesichert sein! Wenn du daran denkst fällt dir das Neuafusetzen auch nicht sonderlich schwer. Der directx-Eintrag im hjt kam nachdem du ihn entfernt und neugestartet hast? Durchsuche die Registry mal nach directx.exe (F3 im Registry-Editor). mfg, Markus |
07.05.2006, 21:46 | #14 | |
| Troja ist da - bitte Hilfe!Zitat:
Bea |
07.05.2006, 21:47 | #15 |
| Troja ist da - bitte Hilfe! Also: O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe (file missing) Ist ja immer noch da!! Was ist da los?? Eigendlich müsste es langsam weg sein!! Das muss auf jeden Fall noch weg!! Mfg, Killburn |
Themen zu Troja ist da - bitte Hilfe! |
adobe, antivirus, antivirus 7, bho, browser, confused, controlcenter, dll, dsl, firewall, frage, handel, hijack, hijackthis, iexplore.exe, iexplorer.exe, installation, internet, internet explorer, kaspersky, neu aufsetzen, officejet, pdf, prozess, registry, routine, rundll, software, system neu, system neu aufsetzen, trojaner, windows, windows xp |