Mein Log
 

Hallo Leute!
Ich hoffe sehr dass ihr mir helfen könnt!
Die services.exe die in winnt sitzt kann ich nicht löschen. Kann mir jemand einen Tipp geben??
Seht es euch aber erst einmal selber an:


Logfile of HijackThis v1.99.1
Scan saved at 21:25:35, on 11.01.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\NetLimiter 2 Monitor\nlsvc.exe
C:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\services.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\NetLimiter 2 Monitor\NLClient.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\sstray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\Programme\a-squared\a2guard.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINNT\system32\cmd.exe
C:\WINNT\system32\javaw.exe
C:\Programme\Silicon Image\Java SATARaid\SiITray.exe
C:\Dokumente und Einstellungen\master mayhem\Desktop\HijackThis.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a-squared\a2guard.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Java SATARaid.lnk = C:\Programme\Silicon Image\Java SATARaid\run.bat
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135891779843
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Monitor\nlsvc.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe
O23 - Service: Microsoft Windows HelpFile (Windows Helpfile) - Unknown owner - C:\WINNT\services.exe

hallo,

bitte führe mal Hier einen onlinescan durch.
teile das komplette ergebniss bitte hier mit.

Ok, davon habe ich schon gehört. Erledige ich heute Abend sobald ich daheim bin.

Vielen Dank für deinen Tip!!

Hallo!
Kasperski hat folgendes ausgespuckt:

Total number of scanned objects: 35701
Number of viruses found: 1
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 1297 sec

Infected Object Name - Virus Name
C:\WINNT\eraseme_83183.exe Infected: Backdoor.Win32.SdBot.xd
C:\WINNT\services.exe Infected: Backdoor.Win32.SdBot.xd

wie bekomme ich das denn nunn weg? Manuell geht das ja nicht.
Grüße
Chris

hallo,

also bei trojanern mit backdoor funktion wie du sie auf dem system hast,hikf leider nur ein weg.
wie du schon vermutest kann die lösung deines problemes nur neuaufsetzen bedeuten.
folge dazu dem link in meiner signatur.
halte dich daran,damit dir sowas in zukunft erspart bleibt.

Danke!
Ich werd mich mal ranmachen.

Habe gerade deine Anleitung fürs Neuaufsetzen gelesen.
Respekt, finde ich super dass du dir so eine Mühe gemacht hast.
Das hilft zumindest mir 300 Schritte weiter.

Schönes Wochenende!

Chris