Hi,
Nach einem Trojanerbefall geht die WinXp-Firewall nicht mehr. Grund:
Der angegebene Dienst "Windows/Internet Connection Sharing (ICS) konnte nicht gestartet werden. Ich vermute der Befall hat da irgendwas kaputt gemacht, allerdings bekomme ich das Ding über CMD ->net start sharedaccess auch nicht gestartet (Grund: Systemfehler 2 - Konnte die angegebene Datei nicht finden)

Was mache ich nun am besten. Den Dreck konnte ich entfernen, allerdings die Auswirkung nicht wirklich..

Gru´ß

mmm...

System komplett neu aufsetzen, um sicher zu gehen, dass wirklich nichts mehr da ist. Rootkits geben sich nicht so leicht zu erkennen.
Wichtige Daten vorher sichern ;).

Gibts da denn nichts mehr zu machen? Nur wegen soner scheiße wieder, es ist doch zum kotzen...
Den ganzen Dreck hab ich ja runter, kann doch nicht sein, dass man das nicht wieder so hinbekommt. :mad:

Bei Trojaner und Rootkits kann selbst ein Experte heute nicht mehr garantieren, das Alles entfernt wurde. Deshalb ist alles Andere, als ein Neuaufsetzen unverantwortlich.

Ich werf mal die Systemwiederherstellung ins Rennen.
Das bietet zwar auch keine 100% Sicherheit, dass alles wieder ok ist, aber ist vielleicht ein Kompromiss.

Hat leider nichts gebracht. :(
Wäre ja auch erstmal übergangsweise, weil sonst habe ich keine Firewall nix und nada, praktisch offenen PC, wenn di XP nicht aktiv ist..
Oder macht das den Kohl auch nicht mehr fett?
ich hab bloß Angst, dass ich mir jetzt den Rechner dadurch total zerschieß, weil die Firewall nicht mehr geht.
Also scheint so, als wenn der Trojaner den Dienst einfach gekillt hat. Diese alg.exe habe ich auch gar nicht mehr unterm Taskmanager, sonst läuft alles supergut...

Kannst ja mal den System File Checker drüber laufen lassen:
sfc.exe /scannow

Hmm... der Scan läuft durch und dann beendet er diesen, ohne jegliche Meldung ob was ist oder nicht. Dieser Internet Connection Sharing (ICS) geht immer noch nicht.

Ich glaube das hatte was mit alg.exe Prozess zu tun, der vorher afaik immer lief, jetzt aber nicht mehr...
So langsam werde ich mich auch vom IE verabschieden. Selbst mit allen aktuellsten Updates, WinXP-Firewall und neustem IE Browser, lässt sich duch ne präperierte Seite so ne Scheiße einfangen. Ok, Brain.exe war auf niedrig (1 verdammtes mal...), aber es kann einfach nicht angehene, dass sowas einfach alles ruckzuck kaputt machen kann. Um ne Neuformatierung komme ich wohl nicht rum, aber ich habe jetzt einfach keine Zeit/Lust alles neuzumachen, da das immer mit sehr viel Zeitaufwand verbunden ist und das jetzt nicht geht..

Falls jemand noch ne andere Lösung weiß, kann er sich gerne melden. Wie gesagt, Bitdefender Scanner hat mehrere Trojan Dinger gekillt, Highjackthis Logfile sagt auch nichts besonderes mehr, von daher bin ich mit meinem Latein am Ende

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:53, on 21.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Eigene Dateien\Sonstige Dateien\HijackThis 2.0.2\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: ATI Tray Tools.lnk = C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2122557-15EE-44A4-8224-B908B1F721E6}: NameServer = 213.191.74.18 62.109.123.6
O19 - User stylesheet: E:\Eigene Dateien\Sonstige Dateien\Keine.Kaestchen.beim.IE8.css
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 5026 bytes

Zumindest das Logfile ist schon mal unauffällig. HijackThis kann aber auch keine Rootkits erkennen...

Nur wegen soner scheiße wieder...Wieso "wieder"? Hast du sowas öfter? Wenn ja würde ich mir überlegen
1. Auf welchem Weg diese Trojaner/Viren ins Sytem gelangen. Der Heise Update Check (http://www.heise.de/security/dienste/Update-Check-843063.html) kann dir da helfen.
2. Mal ein Image des fertig installierten OS vorzuhalten.

MfG
Rooter