Hallo!

Ich habe einen Trojaner auf meinem System.
Es handelt sich um eine Variante des PSW.Gamania.CH.
Er installiert sich beim Systemstart in ein beliebiges
Verzeichnis unter c:\Windows als Datei iexplorer.exe und
will ständig eine Verbindung über den Internet Explorer
(den ich nicht benutze!) zu dubiosen Websites aufbauen.
Ich kann den Prozess manuell schließen und habe dann erst
mal Ruhe, aber ich weiß nicht, wo die eigentliche Startroutine
ist, um sie zu killen.

Ich habe bei einer anderen Variante nachgelesen, daß ein Eintrag in der Registry die Installation auslöst, konnte diesen aber nicht finden. Auch die Logdatei, die erstellt werden soll ist nicht da (hab aber auch das Spiel nicht, dessen Daten angeblich auspioniert werden).

Ich weiß, eigentlich sollte ich das System neu aufsetzen, aber ich bastele gerade an einem neuen PC rum, der der je nach finanziellen Mitteln hoffentlich in den nächsten Wochen fertig wird, also würde ich mir die Tortur gern ersparen und das Ding einfach nur lahmlegen.

Kann mir igendwer weiterhelfen?

Noch eine Frage dazu:
C:\WINDOWS\system32\svchost.exe
Warum taucht das mehrmals auf? Als Prozess läuft es nur 1x. Hat das evt. was damit zu tun?

Bea


-------------hier die Auswertung-------------------
Logfile of HijackThis v1.99.1
Scan saved at 18:14:49, on 07.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\srchasst\IEXPLORE.EXE - das isser!
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\2kadiras.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos AntiSpam 7\antispam.exe
C:\Programme\Steganos AntiDialer 7\guard.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Steganos Personal Firewall 7\KAVPF.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Netscape\Netscape\Netscp.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP OfficeJet Series 500] "C:\Programme\Hewlett-Packard\HP OfficeJet Series 500 NT\bin\ktchnsnk.exe" -reg "Software\Hewlett-Packard\OfficeJet Series 500\Install"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Steganos AntiVirus 7\kav.exe /minimize
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SteganosAntiSpam] "C:\Programme\Steganos AntiSpam 7\antispam.exe"
O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Steganos Personal Firewall 7.lnk = ?
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .htm: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.de/de/de/tools/activex/fpu.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Programme\Steganos AntiVirus 7\kavsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
-----------------------------------------

@octopus001

Zitat:

Ich kann den Prozess manuell schließen

Danach müsste eine sofortige Löschung der Datei folgen. Hast Du es getan/versucht?

Zitat:

Ich habe bei einer anderen Variante nachgelesen, daß ein Eintrag in der Registry die Installation auslöst, konnte diesen aber nicht finden.

Sagst Du doch, es war eine andere Variante.

Zitat:

Noch eine Frage dazu:
C:\WINDOWS\system32\svchost.exe
Warum taucht das mehrmals auf? Als Prozess läuft es nur 1x. Hat das evt. was damit zu tun?

Bei mir laufen 5 Processe mit dieser Datei. Und es ist IMHO normal.
Also zurück: Klappt es mit dem Löschen, nachdem als Dienst beendet wird? Im abgesciherten Modus vllt.?

Zitat:

Zitat von Rene-gad

@octopus001

Danach müsste eine sofortige Löschung der Datei folgen. Hast Du es getan/versucht?

Negativ, der Prozess wird beendet, die Datei bleibt, wo sie ist. Ich kann sie dann manuell löschen, beim nächsten Systemstart taucht sie in einem anderem Unterverzeichnis wieder auf.

Zitat:

Zitat von Rene-gad

Sagst Du doch, es war eine andere Variante.

Ich weiß aber nicht genau, welche das ist. Jottis Seite hat mir eine "Variante von PSW.Gamania.ch" gemeldet, ich habe aber nur Infos über PSW.Gamania.cc.2 gefunden. War einen Versuch wert.

Zitat:

Zitat von Rene-gad

Bei mir laufen 5 Processe mit dieser Datei. Und es ist IMHO normal.
Also zurück: Klappt es mit dem Löschen, nachdem als Dienst beendet wird? Im abgesciherten Modus vllt.?

Ich hab nach dem Neustart noch mal nachgeschaut, es sind tatsächlich mehrere Prozesse, bevor mein Plagegeist kommt, ist also normal.

Was mach ich jetzt? Ist ja auch keine Lösung, jedesmal zu warten, bis der Trojaner startet, ihm den Zugriff manuell zu verweigern, den Prozess zu löschen und danach die Datei zu löschen. Wie kann ich herausfinden, wo die
Routine steckt, die die regelmäßige Neuinstallation auslöst?

Bea

Also ich würd ja erstmal versuchen den mit HighjackThis zu fixen...
Wenn das nich geht versuchs mit Killbox!!

Bei Killbox beachten:
Nimm "Delete On Reboot"

Dann würde ich mir nochmal den angucken:
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
Versuch den am besten auch noch mit HighjackThis zu fixen
Mfg, Killburn

Zitat:

Zitat von Killburn

Also ich würd ja erstmal versuchen den mit HighjackThis zu fixen...
Wenn das nich geht versuchs mit Killbox!!

Bei Killbox beachten:
Nimm "Delete On Reboot"

Dann würde ich mir nochmal den angucken:
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
Versuch den am besten auch noch mit HighjackThis zu fixen
Mfg, Killburn

Nett gemeint, aber leider total ins weiße getroffen.
Er hat gesagt das File wird nach jedem Start in ein anderes Verzeichnis erstellt.
DirectX sollte eigentlich nicht als Prozess gestartet werden .. mhh .. ich sehs mir auch mal an.

mfg,
Markus

Zitat:

Zitat von Killburn

Also ich würd ja erstmal versuchen den mit HighjackThis zu fixen...
Wenn das nich geht versuchs mit Killbox!!
Mfg, Killburn

Verrätst du mir auch noch, was genau ich mit HijackThis fixen soll??? Das eigentliche Programm (iexplore.exe) taucht nur im Logfile auf, kann im Programmfenster nicht zum Fixen ausgewählt werden. Und wenn ich wüßte, was der eigentliche Auslöser ist, hätte ich das auch schon probiert.

Killbox kenn ich noch nicht, aber auch da muß ich vermutlich sagen, was ich gekillt haben möchte? Wenn ich das nur wüßte ...

Bea

Zitat:

Zitat von Markus1234

Nett gemeint, aber leider total ins weiße getroffen.
Er hat gesagt das File wird nach jedem Start in ein anderes Verzeichnis erstellt.
DirectX sollte eigentlich nicht als Prozess gestartet werden .. mhh .. ich sehs mir auch mal an.

mfg,
Markus

Super, vielen Dank! Oder sollte ich lieber fluchen? Ich lass das Ding gerade durchlaufen, es ist infiziert. Mal sehen, womit. Wenn es allerdings dasselbe Ding ist, dann weiß ich auch nicht weiter...

Bea

Soooo .. die directx.exe ist ziemlich sicher keine Systemdatei.

Es handelt sich um eine Blaxe, Logpole oder Digits(sophos) Variante.

Hier mal ein Versuch das Teil loszuwerden:
Beende den Prozess IEXPLORE.EXE im Taskmanager

Öffne HiJackThis, führe einen scan durch und Fixe folgenden Eintrag:
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe

Nun downloadest du Killbox:
http://www.downloads.subratam.org/KillBox.exe

Öffne es und kopiere folgende Zeile rein:
C:\WINDOWS\srchasst\IEXPLORE.EXE
Klicke auf "Delete on Reboot" und danach auf das Rote Kreuz.
Bestätige die Frage mit "No", also noch nicht neu Starten.

Kopiere nun folgende Zeile in das Programm:
c:\windows\system32\directx.exe
Und klicke wieder "Delete on Reboot" und danach das Rote Kreuz.
Diesmal kannst du auf Yes klicken und damit dein System neu Starten (sollst du ).

Nun sollte das Ding eigentlich nimmer da sein - erstelle bitte ein neues HijackThis Logfile!

mfg,
Markus

Zitat:

Zitat von Markus1234

DirectX sollte eigentlich nicht als Prozess gestartet werden .. mhh .. ich sehs mir auch mal an.

mfg,
Markus

Ok, es ist derselbe Trojaner. Kann ich dann davon ausgehen, das dieses Programm die Neuinstallation initiiert? Bei der anderen Variante, über die ich gelesen hab, soll es ein Eintrag in der Registry gewesen sein, das wäre eine völlig andere Vorgehensweise. Hab nicht so viel Erfahrung mit sowas, da ich eigentlich immer recht vorsichtig bin (oder sollte ich es gesunden Menschenverstand nennen? ) und es mich noch nie so schwer erwischt hat.

Was ist mit den folgenden Einträgen:
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
Was in aller Welt sind "Extra 'Tools' menuitem"?

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
Was soll WR sein, daß ich mich einlaggen soll/kann/muss?

O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
Einfach mal in HJT killen und schauen, was passiert??

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Ich experimentiere eigentlich nicht mit sowas???

Bea

Zitat:

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Browser Integrationen.

Zitat:

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
Was soll WR sein, daß ich mich einlaggen soll/kann/muss?

Ich meine dieser Eintrag ist harmlos und gehört zu einer Anti-Spyware Software (kann mich aber auch irren - wobei rene-grad mich sicher berichtigt).

Zitat:

O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
Einfach mal in HJT killen und schauen, was passiert??

Nein, genau so wie ich es beschrieben habe

Zitat:

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Gehört zu Ethereal und ist eine art "Packet-Sniffer".

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
Kannste mit Highjackthis fixen!!

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
Ist ok. Brauchste nichts machen!!

O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
Den musste fixen ob mit HighjackThis oder mit Killbox!!

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Hast du mal WinpCap installiert?? Wenn nich, löschen!!

Ach ja und der "C:\WINDOWS\srchasst\IEXPLORE.EXE" ist bei mir auch wo föllig anders!! Kann ich aber nichts mir anfangen!!
Mfg Killburn

Zitat:

Zitat von Markus1234

Nun sollte das Ding eigentlich nimmer da sein - erstelle bitte ein neues HijackThis Logfile!

mfg,
Markus

Hab ich gemacht und die beiden Dateien waren nach dem Neustart in einem neuen Verzeichnis "Killbox" kaserniert. Ich hab es sofort gelöscht, sicher ist sicher.

Sieht erst mal gut aus, außer das directx.exe jetzt als missing file aufgeführt wird. Irgendwo muß es also noch einen Link geben. Ich seh mir mal die Registry an, vielleicht ist da noch ein Verweis.

Trotzdem erstmal vielen Dank, mir fällt ein Stein vom Herzen, daß ich nciht gleich alles neu aufsetzen muß, da wäre ich ein paar Tage beschäftigt gewesen.

Bea

--------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 22:33:49, on 07.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\2kadiras.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\atwtusb.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos AntiSpam 7\antispam.exe
C:\Programme\Steganos AntiDialer 7\guard.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Steganos Personal Firewall 7\KAVPF.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Netscape\Netscape\Netscp.exe
D:\new downloads\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP OfficeJet Series 500] "C:\Programme\Hewlett-Packard\HP OfficeJet Series 500 NT\bin\ktchnsnk.exe" -reg "Software\Hewlett-Packard\OfficeJet Series 500\Install"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Steganos AntiVirus 7\kav.exe /minimize
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SteganosAntiSpam] "C:\Programme\Steganos AntiSpam 7\antispam.exe"
O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Steganos Personal Firewall 7.lnk = ?
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .htm: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.de/de/de/tools/activex/fpu.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: kavsvc - Kaspersky Labs - C:\Programme\Steganos AntiVirus 7\kavsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

DA ich nicht weiß um welchen SChädling es sich explizit handelt kann ich dir auch keine Sicherheit versprechen.

Grundlegend gilt nach Backdoorbefall Neuaufsetzen.
Daten sollten immer gesichert sein!
Wenn du daran denkst fällt dir das Neuafusetzen auch nicht sonderlich schwer.

Der directx-Eintrag im hjt kam nachdem du ihn entfernt und neugestartet hast?
Durchsuche die Registry mal nach directx.exe (F3 im Registry-Editor).

mfg,
Markus

Zitat:

Zitat von Killburn

Ach ja und der "C:\WINDOWS\srchasst\IEXPLORE.EXE" ist bei mir auch wo föllig anders!! Kann ich aber nichts mir anfangen!!
Mfg Killburn

DEN richtigen hab ich natürlich auch noch, der is natürlich woanders und von dem war auch nicht die Rede ...

Bea

Also:
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe (file missing)
Ist ja immer noch da!! Was ist da los?? Eigendlich müsste es langsam weg sein!!

Das muss auf jeden Fall noch weg!!
Mfg, Killburn