Trojaner-Board - Missing Files sind nicht zu fixen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Missing Files sind nicht zu fixen (https://www.trojaner-board.de/78743-missing-files-fixen.html)

Missing Files sind nicht zu fixen

Hallo,
ich möchte gern auf meinem Notebook "Installationsleichen" entfernen, dabei habe ich mit Hijackthis 2 Einträge gefunden, die ich nicht fixen kann. Auch im abgesicherten Modus gelingt es nicht diese zu entfernen. Die Dateien sind nicht sichtbar, aber (siehe Eintrag 1) der SQL Server ist entfernt. (lt. Mircosaft:rolleyes:) Bei Fall 2 fehlt der gesamte Installationspfad, liegen die Leichen vielleicht in der Registry?

Weiß jemand Rat?
Wenn die Sachen draufbleiben, können sie Schaden anrichten?

MfG Kirsche

WIN XP PROF Version 2002 SP3; Updatestand frisch
Toshiba Satellite M70 1,73 Ghz, 2G RAM (Baujahr 2005!)

Hier ein Ausschnitt aus dem HJT Log:

Code:

O23 - Service: SQL Server (SONY_MEDIAMGR2) (MSSQL$SONY_MEDIAMGR2) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (file missing)

O23 - Service: Remote Procedure Call (HNM) (RPCER) - Unknown owner - C:\Program Files\Common Files\ODBC\comp.exe (file missing)

:hallo:

Diese beiden sollte man in Ruhe lassen.
Ist die dazugehörige Software deinstalliert worden?

Zitat:

Zitat von Kirsche (Beitrag 475451)

Bei Fall 2 fehlt der gesamte Installationspfad, liegen die Leichen vielleicht in der Registry?

Ja.

Zitat:

Wenn die Sachen draufbleiben, können sie Schaden anrichten?

Nein. Verwaiste Einträge sind in der Regel ein "optisches" Problem im Auge des Nutzers. Selten, sehr selten, können sie Probleme z.B. beim Neuinstallieren von Software verursachen oder planlose Securityscanner auf den Plan rufen.

Dienste (O23-Einträge) sollten generell nicht mit HJT gefixt werden. Wenn du sicher bist, dass besagte Software deinstalliert ist, die Dienste nicht mehr laufen und auch weitere, von ihnen abhängige Dienste, nicht laufen, kannst du die Einträge entfernen. Bei unsauberen Deinstallationen ziehe ich es jedoch vor, die zu entfernende Software erneut zu installieren+deinstallieren. Mitunter findet sich vom Hersteller auch ein cleaningtool. Erst wenn das nichts bringt, greife ich von Hand ein.

In der Eingabeaufforderung gib ein:

Code:

sc query MSSQL$SONY_MEDIAMGR2

sc query rpcer

Das zeigt dir den Status der Dienste an. Werden die Dienste nicht gefunden, probiere:

Code:

sc query|findstr /i "sql rpcer"

Tauchen hier Funde auf, weißt du, dass die Dienste noch registriert sind und du mußt nach dem korrekten Service_Name über die sc query-Ausgabe fahnden. Unterstellt, Service_Name "MSSQL$SONY_MEDIAMGR2" und "rpcer" passen, liefert dir

Code:

sc enumdepend MSSQL$SONY_MEDIAMGR2

sc enumdepend rpcer

die Abhängigkeiten anderer Dienste. Paßt das auch, also liegen keine relevanten Abhängigkeiten von Diensten vor, kannst du die Dienste mit

Code:

sc delete MSSQL$SONY_MEDIAMGR2

sc delete rpcer

entfernen.

Hallo ordell1234,
vielen Dank für deine Hilfe, habe das "optische Problem" gelöst indem ich deine Anweisungen abgearbeitet habe. Die Dienste hatten keinerlei relevante Abhängigkeiten mehr und ich habe sie entfernt. Das Programm SONY VEGAS (Videoschnitt) hatte vor geraumer Zeit diese Dienste installiert, leider war mein "Rentner-PC" nur zu einer einwandfreien Zeitlupe in der Lage und ich habs wieder runtergetan und auf meinem Desktop installiert.

Vielen Dank nochmal und ein schönes WE wünscht
Kirsche

Zitat:

Zitat von Kirsche (Beitrag 475467)

Das Programm SONY VEGAS (Videoschnitt) hatte vor geraumer Zeit diese Dienste installiert, leider war mein "Rentner-PC" nur zu einer einwandfreien Zeitlupe in der Lage

...was für den Schnitt ja nicht das Schlechteste ist :blabla: Schönes WE und Grüße