msdirectx.sys --> ich werde dieses Teil nicht los!?
 

Hallo,

ich habe schon ca. 10 Stunden in die Beseitigung diverser Trojaner auf dieser Kiste investiert (klar, ich sollte es neu aufgesetzt haben; habe ich aber nicht da man am Anfang meint, es wieder in den Griff zu kriegen....)

Kaspersky findet und löscht nach Neustart immer msdirectx.sys (Meldet wie escan Trojan.Win32.Rootkit.h) . Jedoch ist diese Datei nach jedem Neustart wieder da.

Bin für jegliche Idee und Hilfe dankbar!!



Logfile of HijackThis v1.99.0
Scan saved at 10:46:47, on 22.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINNT\system32\Brmfrmps.exe
C:\WINNT\system32\BrmfRsmg.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\MSSQL7\binn\sqlservr.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\MSSQL7\binn\sqlagent.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\Programme\Tracker\PDF-XChange\PDFSaver.exe
C:\WINNT\system32\SSL32Dr.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\FRITZ!\IWatch.exe
C:\MSSQL7\Binn\sqlmangr.exe
C:\Programme\Scansoft\PaperPort\PopUp\SmartUI.exe
C:\Programme\Scansoft\PaperPort\PPLinks.exe
C:\stm\anti0205\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [PDFSaver] C:\Programme\Tracker\PDF-XChange\PDFSaver.exe
O4 - HKLM\..\Run: [Windows SSL Secondary Drivers] SSL32Dr.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\RunServices: [Windows SSL Secondary Drivers] SSL32Dr.exe
O4 - HKCU\..\Run: [Windows SSL Secondary Drivers] SSL32Dr.exe
O4 - HKCU\..\RunServices: [Windows SSL Secondary Drivers] SSL32Dr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe
O4 - Global Startup: SQL Server.lnk = C:\MSSQL7\Binn\scm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\MSOffice\Office10\OSA.EXE
O4 - Global Startup: Brother SmartUI PopUp.lnk = C:\Programme\Scansoft\PaperPort\PopUp\SmartUI.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVP Control Centre Service - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
O23 - Service: Brother Popup Suspend service for Resource manager - Brother Industries, Ltd. - C:\WINNT\system32\Brmfrmps.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: KAV Monitor Service - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
O23 - Service: LiveUpdateInstaller - Sage Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Sage Registrierungsdienst - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE

@dankegut
wenn du diesen im system hast,
http://vic.zonelabs.com/tmpl/body/CA....jsp?VId=40790
kann ich dir leider nur raten dein system neuaufzusetzen(formatC)

hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2

sry
chaosman

@ chaosman

Danke für die schnelle Antwort.

Tja ich hatte es schon befürchtet :teufel3: