Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: ntswrl32.dll

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 03.06.2006, 13:34   #1
KingTurk
 
ntswrl32.dll - Standard

ntswrl32.dll



Tach ,

mein norton hat heute diesen verdammten trojaner entdeckt. Ganz ehrlich hab ich keine ahnung wie diese sch**e bei mir gelandet ist, ich vermute von meinem bruder.

Naja also C:\WINDOWS\system\ntswrl32.dll ist die wanmeldung ...

Verzweifelt suche ich schon seit paar stunden um eine lösung, bisher erfolglos. Durch google bin ich dann hier gelandet .

danke im voraus und mfg

Logfile of HijackThis v1.99.1
Scan saved at 13:31:29, on 03.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\vssms32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\***\Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunOnce: [Panda_cleaner_278213] C:\WINDOWS\system32\ActiveScan\pavdr.exe xPanda ActiveScan 278213
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148419317138
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148420428061
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9C5D81E-D563-4C48-AB88-7F213717D8EC}: NameServer = 217.237.150.188 217.237.151.161
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Alt 03.06.2006, 13:57   #2
Sunny
Administrator
> Competence Manager
 

ntswrl32.dll - Standard

ntswrl32.dll



Hallo KingTurk,

Das sagen die andere Anti-Viren Hersteller zu dieser Datei:
http://www.sophos.de/virusinfo/analy...ojbdooryp.html
http://www.avira.com/de/threats/sect..._cakl.a.1.html

Um nochmals auf Nummer sicher zu gehen, lass die Datei mal bei Virustotal auswerten:

C:\WINDOWS\system\ntswrl32.dll


Sollte es sich bestätigen, wirst du leider um das Neuaufsetzen deines Systems nicht drumherum kommen.

Gruß
Daniel
__________________

__________________

Alt 03.06.2006, 14:05   #3
KingTurk
 
ntswrl32.dll - Standard

ntswrl32.dll



ähmm erst mal danke für eine schnelle antwort...

joa was die sagen ist glaub ich nicht so schön, aber das mit virustotal hat nicht geklappt...

im system32 existiert die datei irgendiwe nicht! was soll ich nun machen?
ich mein mein wirus scanner findet immernoch denselben trojaner, aber im system32 is die datei nicht...

mfg
__________________

Alt 03.06.2006, 14:10   #4
Sunny
Administrator
> Competence Manager
 

ntswrl32.dll - Standard

ntswrl32.dll



Wo findet der Virenscanner denn die Datei? Dafür musst du nur in das letzte Protokoll von deinem AV schauen!

Ansonsten kann man auch bestimmte Dateien sichtbar machen, nämlich so --> Hier

Ansonsten wenn das auch nicht klappt, mach einen eScan nach dieser Anleitung: --> eScan

Gruß
Daniel
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 04.06.2006, 00:28   #5
dartus
 
ntswrl32.dll - Standard

ntswrl32.dll



Kurz einmisch:
@[Gc]Sunny,

in Deinem Link zu "Sophos" steht explicit:
Zitat:
Der folgende Registrierungseintrag wird erstellt, damit vssms32.exe beim Start ausgeführt wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
vssms32
<System>\vssms32.exe
@KingTurk,
installiere Dein System nach folgender Anleitung neu:

http://www.trojaner-board.de/showthread.php?t=12154

dartus

__________________
Kein Support per PN

Alt 10.10.2006, 18:22   #6
Schebberle
 
ntswrl32.dll - Standard

ntswrl32.dll



Also ich hab eine ganz einfache Lösung für das Problem:
Und zwar ganz einfach wie [Gc]Sunny schon Beschrieben hat die Dateien sichtbar machen und im ordner c:/windows/system32 die Datei vssms32.exe löschen. So hat es zumindest bei mir Funktioniert, da der Trojaner durch diese Datei gestartet wird, und dies per Autostart beim Hochfahren geschieht. Und da diese Datei nicht mehr existiert. kann sie auch nicht Gestartet werden!!!!

Alt 10.10.2006, 18:45   #7
Sunny
Administrator
> Competence Manager
 

ntswrl32.dll - Standard

ntswrl32.dll



Zitat:
Zitat von Schebberle
die Dateien sichtbar machen und im ordner c:/windows/system32 die Datei vssms32.exe löschen. So hat es zumindest bei mir Funktioniert, da der Trojaner durch diese Datei gestartet wird, und dies per Autostart beim Hochfahren geschieht. Und da diese Datei nicht mehr existiert. kann sie auch nicht Gestartet werden!!!!
JEIN!

Die Datei vssms32.exe ist fürs erste oder vielleicht auch für immer gelöscht/deaktiviert/entfernt, was aber nichts heißen muss!
Denn wie der erste Link von mir im Beitrag #2 beschreibt:

Zitat:
* Ermöglicht Dritten den Zugriff auf den Computer
* Legt Malware ab
* Reduziert die Systemsicherheit
Es ist zwar der Schädling entfernt, aber was hat er (vielleicht!) noch alles in deinem System angerichtet/verändert?!

Ein Restrisiko bleibt in so einem Fall immer, was du draus machst, liegt in deiner Verantwortung!
(ich hätte trotzdem das System neu aufgesetzt!)

Gruß

Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu ntswrl32.dll
.dll, antivirus, bho, desktop, drivers, einstellungen, excel, explorer, firefox, google, hijack, hijackthis, internet, internet explorer, keine ahnung, monitor, mozilla, mozilla firefox, nvidia, rundll, security, security center, server, settings manager, software, symantec, system, trojaner, windows, windows xp



Zum Thema ntswrl32.dll - Tach , mein norton hat heute diesen verdammten trojaner entdeckt. Ganz ehrlich hab ich keine ahnung wie diese sch**e bei mir gelandet ist, ich vermute von meinem bruder. Naja also - ntswrl32.dll...
Archiv
Du betrachtest: ntswrl32.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.