Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Troja ist da - bitte Hilfe!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.05.2006, 18:33   #1
octopus001
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



Hallo!

Ich habe einen Trojaner auf meinem System.
Es handelt sich um eine Variante des PSW.Gamania.CH.
Er installiert sich beim Systemstart in ein beliebiges
Verzeichnis unter c:\Windows als Datei iexplorer.exe und
will ständig eine Verbindung über den Internet Explorer
(den ich nicht benutze!) zu dubiosen Websites aufbauen.
Ich kann den Prozess manuell schließen und habe dann erst
mal Ruhe, aber ich weiß nicht, wo die eigentliche Startroutine
ist, um sie zu killen.

Ich habe bei einer anderen Variante nachgelesen, daß ein Eintrag in der Registry die Installation auslöst, konnte diesen aber nicht finden. Auch die Logdatei, die erstellt werden soll ist nicht da (hab aber auch das Spiel nicht, dessen Daten angeblich auspioniert werden).

Ich weiß, eigentlich sollte ich das System neu aufsetzen, aber ich bastele gerade an einem neuen PC rum, der der je nach finanziellen Mitteln hoffentlich in den nächsten Wochen fertig wird, also würde ich mir die Tortur gern ersparen und das Ding einfach nur lahmlegen.

Kann mir igendwer weiterhelfen?

Noch eine Frage dazu:
C:\WINDOWS\system32\svchost.exe
Warum taucht das mehrmals auf? Als Prozess läuft es nur 1x. Hat das evt. was damit zu tun?

Bea


-------------hier die Auswertung-------------------
Logfile of HijackThis v1.99.1
Scan saved at 18:14:49, on 07.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\srchasst\IEXPLORE.EXE - das isser!
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\2kadiras.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos AntiSpam 7\antispam.exe
C:\Programme\Steganos AntiDialer 7\guard.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Steganos Personal Firewall 7\KAVPF.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Netscape\Netscape\Netscp.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP OfficeJet Series 500] "C:\Programme\Hewlett-Packard\HP OfficeJet Series 500 NT\bin\ktchnsnk.exe" -reg "Software\Hewlett-Packard\OfficeJet Series 500\Install"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Steganos AntiVirus 7\kav.exe /minimize
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SteganosAntiSpam] "C:\Programme\Steganos AntiSpam 7\antispam.exe"
O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Steganos Personal Firewall 7.lnk = ?
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .htm: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.de/de/de/tools/activex/fpu.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Programme\Steganos AntiVirus 7\kavsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
-----------------------------------------

Alt 07.05.2006, 18:53   #2
Rene-gad
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



@octopus001
Zitat:
Ich kann den Prozess manuell schließen
Danach müsste eine sofortige Löschung der Datei folgen. Hast Du es getan/versucht?
Zitat:
Ich habe bei einer anderen Variante nachgelesen, daß ein Eintrag in der Registry die Installation auslöst, konnte diesen aber nicht finden.
Sagst Du doch, es war eine andere Variante.
Zitat:
Noch eine Frage dazu:
C:\WINDOWS\system32\svchost.exe
Warum taucht das mehrmals auf? Als Prozess läuft es nur 1x. Hat das evt. was damit zu tun?
Bei mir laufen 5 Processe mit dieser Datei. Und es ist IMHO normal.
Also zurück: Klappt es mit dem Löschen, nachdem als Dienst beendet wird? Im abgesciherten Modus vllt.?
__________________


Alt 07.05.2006, 19:38   #3
octopus001
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



Zitat:
Zitat von Rene-gad
@octopus001

Danach müsste eine sofortige Löschung der Datei folgen. Hast Du es getan/versucht?
Negativ, der Prozess wird beendet, die Datei bleibt, wo sie ist. Ich kann sie dann manuell löschen, beim nächsten Systemstart taucht sie in einem anderem Unterverzeichnis wieder auf.

Zitat:
Zitat von Rene-gad
Sagst Du doch, es war eine andere Variante.
Ich weiß aber nicht genau, welche das ist. Jottis Seite hat mir eine "Variante von PSW.Gamania.ch" gemeldet, ich habe aber nur Infos über PSW.Gamania.cc.2 gefunden. War einen Versuch wert.

Zitat:
Zitat von Rene-gad
Bei mir laufen 5 Processe mit dieser Datei. Und es ist IMHO normal.
Also zurück: Klappt es mit dem Löschen, nachdem als Dienst beendet wird? Im abgesciherten Modus vllt.?
Ich hab nach dem Neustart noch mal nachgeschaut, es sind tatsächlich mehrere Prozesse, bevor mein Plagegeist kommt, ist also normal.

Was mach ich jetzt? Ist ja auch keine Lösung, jedesmal zu warten, bis der Trojaner startet, ihm den Zugriff manuell zu verweigern, den Prozess zu löschen und danach die Datei zu löschen. Wie kann ich herausfinden, wo die
Routine steckt, die die regelmäßige Neuinstallation auslöst?

Bea
__________________

Alt 07.05.2006, 21:46   #4
Killburn
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



Also ich würd ja erstmal versuchen den mit HighjackThis zu fixen...
Wenn das nich geht versuchs mit Killbox!!

Bei Killbox beachten:
Nimm "Delete On Reboot"

Dann würde ich mir nochmal den angucken:
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
Versuch den am besten auch noch mit HighjackThis zu fixen
Mfg, Killburn

Alt 07.05.2006, 21:57   #5
Markus1234
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



Zitat:
Zitat von Killburn
Also ich würd ja erstmal versuchen den mit HighjackThis zu fixen...
Wenn das nich geht versuchs mit Killbox!!

Bei Killbox beachten:
Nimm "Delete On Reboot"

Dann würde ich mir nochmal den angucken:
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
Versuch den am besten auch noch mit HighjackThis zu fixen
Mfg, Killburn
Nett gemeint, aber leider total ins weiße getroffen.
Er hat gesagt das File wird nach jedem Start in ein anderes Verzeichnis erstellt.
DirectX sollte eigentlich nicht als Prozess gestartet werden .. mhh .. ich sehs mir auch mal an.

mfg,
Markus


Geändert von Markus1234 (07.05.2006 um 22:04 Uhr)

Alt 07.05.2006, 21:58   #6
octopus001
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



Zitat:
Zitat von Killburn
Also ich würd ja erstmal versuchen den mit HighjackThis zu fixen...
Wenn das nich geht versuchs mit Killbox!!
Mfg, Killburn
Verrätst du mir auch noch, was genau ich mit HijackThis fixen soll??? Das eigentliche Programm (iexplore.exe) taucht nur im Logfile auf, kann im Programmfenster nicht zum Fixen ausgewählt werden. Und wenn ich wüßte, was der eigentliche Auslöser ist, hätte ich das auch schon probiert.

Killbox kenn ich noch nicht, aber auch da muß ich vermutlich sagen, was ich gekillt haben möchte? Wenn ich das nur wüßte ...

Bea

Alt 07.05.2006, 22:06   #7
octopus001
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



Zitat:
Zitat von Markus1234
Nett gemeint, aber leider total ins weiße getroffen.
Er hat gesagt das File wird nach jedem Start in ein anderes Verzeichnis erstellt.
DirectX sollte eigentlich nicht als Prozess gestartet werden .. mhh .. ich sehs mir auch mal an.

mfg,
Markus
Super, vielen Dank! Oder sollte ich lieber fluchen? Ich lass das Ding gerade durchlaufen, es ist infiziert. Mal sehen, womit. Wenn es allerdings dasselbe Ding ist, dann weiß ich auch nicht weiter...

Bea

Alt 07.05.2006, 22:10   #8
Markus1234
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



Soooo .. die directx.exe ist ziemlich sicher keine Systemdatei.

Es handelt sich um eine Blaxe, Logpole oder Digits(sophos) Variante.

Hier mal ein Versuch das Teil loszuwerden:
Beende den Prozess IEXPLORE.EXE im Taskmanager

Öffne HiJackThis, führe einen scan durch und Fixe folgenden Eintrag:
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe

Nun downloadest du Killbox:
http://www.downloads.subratam.org/KillBox.exe

Öffne es und kopiere folgende Zeile rein:
C:\WINDOWS\srchasst\IEXPLORE.EXE
Klicke auf "Delete on Reboot" und danach auf das Rote Kreuz.
Bestätige die Frage mit "No", also noch nicht neu Starten.

Kopiere nun folgende Zeile in das Programm:
c:\windows\system32\directx.exe
Und klicke wieder "Delete on Reboot" und danach das Rote Kreuz.
Diesmal kannst du auf Yes klicken und damit dein System neu Starten (sollst du ).

Nun sollte das Ding eigentlich nimmer da sein - erstelle bitte ein neues HijackThis Logfile!

mfg,
Markus

Alt 07.05.2006, 22:21   #9
octopus001
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



Zitat:
Zitat von Markus1234
DirectX sollte eigentlich nicht als Prozess gestartet werden .. mhh .. ich sehs mir auch mal an.

mfg,
Markus
Ok, es ist derselbe Trojaner. Kann ich dann davon ausgehen, das dieses Programm die Neuinstallation initiiert? Bei der anderen Variante, über die ich gelesen hab, soll es ein Eintrag in der Registry gewesen sein, das wäre eine völlig andere Vorgehensweise. Hab nicht so viel Erfahrung mit sowas, da ich eigentlich immer recht vorsichtig bin (oder sollte ich es gesunden Menschenverstand nennen? ) und es mich noch nie so schwer erwischt hat.

Was ist mit den folgenden Einträgen:
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
Was in aller Welt sind "Extra 'Tools' menuitem"?

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
Was soll WR sein, daß ich mich einlaggen soll/kann/muss?

O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
Einfach mal in HJT killen und schauen, was passiert??

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Ich experimentiere eigentlich nicht mit sowas???

Bea

Alt 07.05.2006, 22:34   #10
Markus1234
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



Zitat:
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
Browser Integrationen.

Zitat:
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
Was soll WR sein, daß ich mich einlaggen soll/kann/muss?
Ich meine dieser Eintrag ist harmlos und gehört zu einer Anti-Spyware Software (kann mich aber auch irren - wobei rene-grad mich sicher berichtigt).

Zitat:
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
Einfach mal in HJT killen und schauen, was passiert??
Nein, genau so wie ich es beschrieben habe

Zitat:
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Gehört zu Ethereal und ist eine art "Packet-Sniffer".

Alt 07.05.2006, 22:38   #11
Killburn
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
Kannste mit Highjackthis fixen!!

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
Ist ok. Brauchste nichts machen!!

O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
Den musste fixen ob mit HighjackThis oder mit Killbox!!

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Hast du mal WinpCap installiert?? Wenn nich, löschen!!

Ach ja und der "C:\WINDOWS\srchasst\IEXPLORE.EXE" ist bei mir auch wo föllig anders!! Kann ich aber nichts mir anfangen!!
Mfg Killburn

Alt 07.05.2006, 22:41   #12
octopus001
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



Zitat:
Zitat von Markus1234
Nun sollte das Ding eigentlich nimmer da sein - erstelle bitte ein neues HijackThis Logfile!

mfg,
Markus
Hab ich gemacht und die beiden Dateien waren nach dem Neustart in einem neuen Verzeichnis "Killbox" kaserniert. Ich hab es sofort gelöscht, sicher ist sicher.

Sieht erst mal gut aus, außer das directx.exe jetzt als missing file aufgeführt wird. Irgendwo muß es also noch einen Link geben. Ich seh mir mal die Registry an, vielleicht ist da noch ein Verweis.

Trotzdem erstmal vielen Dank, mir fällt ein Stein vom Herzen, daß ich nciht gleich alles neu aufsetzen muß, da wäre ich ein paar Tage beschäftigt gewesen.

Bea

--------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 22:33:49, on 07.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\2kadiras.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\atwtusb.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos AntiSpam 7\antispam.exe
C:\Programme\Steganos AntiDialer 7\guard.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Steganos Personal Firewall 7\KAVPF.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Netscape\Netscape\Netscp.exe
D:\new downloads\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP OfficeJet Series 500] "C:\Programme\Hewlett-Packard\HP OfficeJet Series 500 NT\bin\ktchnsnk.exe" -reg "Software\Hewlett-Packard\OfficeJet Series 500\Install"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Steganos AntiVirus 7\kav.exe /minimize
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SteganosAntiSpam] "C:\Programme\Steganos AntiSpam 7\antispam.exe"
O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Steganos Personal Firewall 7.lnk = ?
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .htm: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.de/de/de/tools/activex/fpu.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: kavsvc - Kaspersky Labs - C:\Programme\Steganos AntiVirus 7\kavsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Alt 07.05.2006, 22:45   #13
Markus1234
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



DA ich nicht weiß um welchen SChädling es sich explizit handelt kann ich dir auch keine Sicherheit versprechen.

Grundlegend gilt nach Backdoorbefall Neuaufsetzen.
Daten sollten immer gesichert sein!
Wenn du daran denkst fällt dir das Neuafusetzen auch nicht sonderlich schwer.

Der directx-Eintrag im hjt kam nachdem du ihn entfernt und neugestartet hast?
Durchsuche die Registry mal nach directx.exe (F3 im Registry-Editor).

mfg,
Markus

Alt 07.05.2006, 22:46   #14
octopus001
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



Zitat:
Zitat von Killburn
Ach ja und der "C:\WINDOWS\srchasst\IEXPLORE.EXE" ist bei mir auch wo föllig anders!! Kann ich aber nichts mir anfangen!!
Mfg Killburn
DEN richtigen hab ich natürlich auch noch, der is natürlich woanders und von dem war auch nicht die Rede ...

Bea

Alt 07.05.2006, 22:47   #15
Killburn
 
Troja ist da - bitte Hilfe! - Standard

Troja ist da - bitte Hilfe!



Also:
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe (file missing)
Ist ja immer noch da!! Was ist da los?? Eigendlich müsste es langsam weg sein!!

Das muss auf jeden Fall noch weg!!
Mfg, Killburn

Antwort

Themen zu Troja ist da - bitte Hilfe!
adobe, antivirus, antivirus 7, bho, browser, confused, controlcenter, dll, dsl, firewall, frage, handel, hijack, hijackthis, iexplore.exe, iexplorer.exe, installation, internet, internet explorer, kaspersky, neu aufsetzen, officejet, pdf, prozess, registry, routine, rundll, software, system neu, system neu aufsetzen, trojaner, windows, windows xp



Ähnliche Themen: Troja ist da - bitte Hilfe!


  1. troja fakems und firefox keine rückmeldung
    Log-Analyse und Auswertung - 16.12.2012 (15)
  2. img068438960802010.jpg.scr Troja?
    Plagegeister aller Art und deren Bekämpfung - 12.02.2012 (48)
  3. BKA Virus Troja windows xp
    Plagegeister aller Art und deren Bekämpfung - 10.08.2011 (1)
  4. 100 tan troja
    Log-Analyse und Auswertung - 06.07.2011 (7)
  5. troja.win.32.generic!sb.0
    Log-Analyse und Auswertung - 24.09.2010 (12)
  6. AW: img068438960802010.jpg.scr Troja?
    Mülltonne - 29.04.2010 (0)
  7. Troja.JS.Redirector.ar - bin völlig verzweifelt...
    Plagegeister aller Art und deren Bekämpfung - 25.01.2010 (5)
  8. Troja
    Log-Analyse und Auswertung - 13.07.2009 (11)
  9. win32.troja-gen im System gemeldet
    Log-Analyse und Auswertung - 28.10.2008 (10)
  10. win32.troja-gen gefunden
    Mülltonne - 28.10.2008 (0)
  11. Troja fällt!?
    Log-Analyse und Auswertung - 20.07.2008 (0)
  12. Troja Befall? (TR/Spy.Ardamax.H.5 + KIT/Drop.Ag.2015003)
    Log-Analyse und Auswertung - 18.06.2007 (2)
  13. Besuch aus Troja
    Log-Analyse und Auswertung - 13.06.2007 (2)
  14. Generic.Troja.Phish und Trojan.Downloader
    Plagegeister aller Art und deren Bekämpfung - 23.05.2007 (4)
  15. Troja.popuper
    Plagegeister aller Art und deren Bekämpfung - 20.09.2005 (1)
  16. Troja befall
    Plagegeister aller Art und deren Bekämpfung - 30.06.2005 (2)

Zum Thema Troja ist da - bitte Hilfe! - Hallo! Ich habe einen Trojaner auf meinem System. Es handelt sich um eine Variante des PSW.Gamania.CH. Er installiert sich beim Systemstart in ein beliebiges Verzeichnis unter c:\Windows als Datei iexplorer.exe - Troja ist da - bitte Hilfe!...
Archiv
Du betrachtest: Troja ist da - bitte Hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.