Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: nvsvcd.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.04.2006, 05:31   #1
hexer
 
nvsvcd.exe - Standard

nvsvcd.exe



Logfile of HijackThis v1.99.1
Scan saved at 05:13:43, on 21.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\vsnpstd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
D:\programme\mirc\Gamers.IRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\olli und dani\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\programme\icq 5\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe pro 6\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\programme\icq 5\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O8 - Extra context menu item: &AOL Toolbar-Suche - res://C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\programme\icq 5\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4672/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89EA5B97-F988-4072-AED7-098CC2E977C4}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Logitech, Inc. - (no file)
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Access Remote PC Service 4.1 (RpcSvr4x) - www.access-remote-pc.com - C:\Programme\Remote PC\Access Remote PC 4.1\rpcsetup.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

beim starten vom pc hat die datei eine fehler ich scanne jetzt mal alles dursch um hilfe wäre ich ich dankbar beid er auswertung der logfile da oben

Alt 21.04.2006, 05:42   #2
hexer
 
nvsvcd.exe - Standard

nvsvcd.exe



Datei: nvsvcd.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
W32/Methodbod.A - Packed gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan-Proxy.Win32.Horst.aj gefunden
NOD32
a variant of Win32/TrojanProxy.Horst.AJ gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden
habe mal durch gescannt wie geh ichw eiter vor jetzt
__________________


Alt 21.04.2006, 05:59   #3
hexer
 
nvsvcd.exe - Standard

nvsvcd.exe



das mal dat file
21.04.2006 05:00 2.206 wpa.dbl
15.04.2006 04:38 49.152 nvsvcd.exe
06.04.2006 21:48 5.143.456 MRT.exe
06.04.2006 03:16 2.550 Uninstall.ico
06.04.2006 03:16 1.406 Help.ico
27.03.2006 09:10 312.946 perfh009.dat
27.03.2006 09:10 40.664 perfc009.dat
27.03.2006 09:10 49.028 perfc007.dat
27.03.2006 09:10 318.106 perfh007.dat
27.03.2006 09:10 728.442 PerfStringBackup.INI
24.03.2006 15:27 847.872 ArcaOnline.dll
22.03.2006 17:46 2.702.336 MSHTML.DLL
22.03.2006 03:29 612.352 xpsp2res.dll
21.03.2006 15:36 1.339.392 SHDOCVW.DLL
17.03.2006 07:03 8.392.192 shell32.dll
__________________

Alt 21.04.2006, 23:28   #4
dartus
 
nvsvcd.exe - Standard

nvsvcd.exe



Hallo hexer,

da der Trojaner über Backdoor-Funktionaltität verfügt, ist dringend zur Neuinstallationanzuraten.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Botnet

Empfohlene Anleitung zur Neuinstallation:
http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung
http://www.trojaner-board.de/showpos...8&postcount=11

dartus
__________________
Kein Support per PN

Alt 22.04.2006, 08:12   #5
hexer
 
nvsvcd.exe - Standard

nvsvcd.exe



gibts da keine andere möglichkeit als neu instalation


Alt 22.04.2006, 13:56   #6
waldmensch2712
 
nvsvcd.exe - Standard

nvsvcd.exe



@dartus
ich hab den backdoor-trojaner auch so eleminiert
neuinstallation ist immer das einfachste
es geht auch anders

mein tip (hat bei mir funktioniert)

auf hijackthis-homepage logfile auswertenlassen und alles fixen was nicht gut ist

bei mir hats geholfen

probieren denk ich ist besser als system gelich neu aufsetzen

Alt 22.04.2006, 14:05   #7
Wildone
 
nvsvcd.exe - Standard

nvsvcd.exe



@waldmensch2712
Das man ein paar registryeinträge und Dateien löschen kann, ist hier durchaus bekannt. Aber ist damit das Problem beseitigt, welche Dateien wurden vnoch geändert? Welche Hintertürchen geöffnet? Vielleicht wurde noch ein Rootkit nachgeladen. Hast du die links von dartus eigentlich gelesen? Ich kann es mir eigentlich nicht vorstellen, den dann hättest du dieses Posting nicht verfasst.



Grüße Wildone

Alt 22.04.2006, 14:05   #8
Sunny
Administrator
> Competence Manager
 

nvsvcd.exe - Standard

nvsvcd.exe



Ich glaube du hättest den Rat von DARTUS befolgen sollen! Mit dem reinen fixen von hijack ist es bei diesem BackdoorTrojaner NICHT getan.
Ich habe vorige Woche genau den gleichen im System gehabt, und habe mich durch meine Registrierung geackert, Killbox verwenden müssen mehrere Male den doch unmöglichen Versuch mein System wieder "vertrauenswürdig hinzubekommen. Nur weil die nsvcd.exe gelöscht ist, bzw. wie in deinem Falle nur gefixt wurde, ist dein System weiterhin gnadenlos kompromitiert..
Erstell mal spaßenshalber ein HijackLog, und deinstalliere Deine Anti-Virensoftware! Danach kannst du ja dein Anti-Vir wieder installieren (sofern das dann noch möglich ist)
Ich will dir keine Moralpredigt halten, aber ich hab es mehr als ausgetestet das das System nach diesem Trojaner völlig verseucht ist... Sofern Du einen Router hast, überprüfe mal die LOGS bzw. deine Verbindung, kann sein das es da auch schon etliche Angriffe gegeben hat...
(Dies war zumindest bei mir der Fall .. )

Ich rate dir dringenst dein System neu zu installieren...und zwar gründlich!

EDIT: @Wildone- Ja, auch ein Rottkit war installiert, welches ich aber entfernen konnte!
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 22.04.2006, 18:18   #9
waldmensch2712
 
nvsvcd.exe - Standard

nvsvcd.exe



nun sagt mir mal eins
und versteht mich nicht falsch
wenn bei mir kein diagnosetool und auch hijack ,norton usw ich hab etliche
kein vierenscanner ob meiner oder online
onlineanalyse von symantec usw
was finden,
WARUM SOLL ICH REAGIEREN

oder kennt ihr noch eine möglichkeit, angriffsstellen festzustellen ???

ich bin zwar erst neu hier, aber manchmal komm ich mir vor wie bei der vogelgrippe

das war ironisch gemeint

ich mein nur : aufwand und nutzen

wo nix ist , oder ist da was ?

sorry Peter

Alt 22.04.2006, 18:23   #10
waldmensch2712
 
nvsvcd.exe - Standard

nvsvcd.exe



ps hab antivier neu installiert null problemo

Alt 22.04.2006, 18:32   #11
Markus1234
 
nvsvcd.exe - Standard

nvsvcd.exe



Es wurde bereits erwähnt!

Viren sind schadhafte Programme die absolut alles umschreiben können.
Wer weiß wieviele Hintertürchen nur in deinem System geöffnet wurden!

Antivirenprogramme entfernen zwar die Viren, aber machen deren Aktionen keinesfalls rückgängig! Und für diese Aktionen sind Trojaner nunmal ausgerichtet.

Nun erklärst DU mir bitte wieso du der einzigste überhaupt sein sollst bei dem das anders ist!

mfg,
Markus

Alt 22.04.2006, 18:34   #12
Sunny
Administrator
> Competence Manager
 

nvsvcd.exe - Standard

nvsvcd.exe



Zitat:
Zitat von waldmensch2712
WARUM SOLL ICH REAGIEREN
Warum hab ich dir schon mehrfach zu Verstehen gegeben!

Zitat:
Zitat von Waldmensch2712
oder kennt ihr noch eine möglichkeit, angriffsstellen festzustellen ???
Dein ganzer Rechner scheint eine ANGRIFFSSTELLE zu sein bzw. zu werden!

Zitat:
Zitat von Waldmensch2712
oder ist da was ?
Hast du es denn mal ausprobiert deine Antiviren-Software zu deinstallieren?
Hast du Deine Registrierung mal durchgesehen wieviele Einträge dort verändert wurden/sind?

Ich empfinde das Aufsetzen des Systems nicht als Aufwendig, sondern eher als Absicherung gegen das:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Tu was du für richtig hälst...

Gruß
Daniel
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 22.04.2006, 21:18   #13
The Saint
 
nvsvcd.exe - Standard

nvsvcd.exe



An waldmensch2712 und hexer!

Wills man ganz hart ausdrücken.

Stell dir mal vor die Kriminalpolizei klopft an deiner Haustür und die Handschellen klicken!

Weißt du auch warum?

Ganz einfach deine Rechner wurde missbraucht für Kinderpornos und anderen strafbaren Delikten.

Also ist eine Neuinstallation immer noch besser als sich solchen Ärger aufzuhalsen.

Alt 23.04.2006, 18:57   #14
hexer
 
nvsvcd.exe - Standard

nvsvcd.exe



irgendwie hatse recht habe gestern format gemacht die nacht ist besser und siehe da alels sauber und neu

Antwort

Themen zu nvsvcd.exe
adobe, alert, antivirus, antivirus scan, bho, desktop, dsl, einstellungen, excel, explorer, fehler, firefox, hijack, hijackthis, icqtoolbar, internet, internet explorer, logfile, mozilla, mozilla firefox, rundll, software, starten, symantec, system, urlsearchhook, windows, windows xp




Zum Thema nvsvcd.exe - Logfile of HijackThis v1.99.1 Scan saved at 05:13:43, on 21.04.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe - nvsvcd.exe...
Archiv
Du betrachtest: nvsvcd.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.