| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan-Adclicker in Windows\System32\NSV26.DLLWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
20.09.2007, 16:00
| #1 |
 |  Trojan-Adclicker in Windows\System32\NSV26.DLL hallo nochmal! bezüglich MWAV (eScan) - Free Antivirus muss ich das mit oder router machen??? ich weiß leider nicht, was ein router ist... vielen dank!!! lg jvc |
|
20.09.2007, 16:09
| #2 | |
| Administrator > Competence Manager  | Trojan-Adclicker in Windows\System32\NSV26.DLLZitat:
__________________ |
|
20.09.2007, 17:19
| #3 |
| | Trojan-Adclicker in Windows\System32\NSV26.DLL hallo,
__________________ja, äh, das war ich... wir haben so ein splitter-modem. tut mir leid, dass ich in dieser hinsicht etwas unbedarft bin... ich will hier niemanden nerven (falls ich eine blöde frage gestellt hab)... danke!! lg jvc |
|
20.09.2007, 17:21
| #4 | |
| Administrator > Competence Manager | Trojan-Adclicker in Windows\System32\NSV26.DLLZitat:
 , lies nun noch mal die Anleitung von eScan -> "ohne Router" .. Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
20.09.2007, 20:43
| #5 |
| | Trojan-Adclicker in Windows\System32\NSV26.DLL hallo sunny, ich hab den escan jetzt bis inkl. schritt nr. 6 gemacht (ich geb das jetzt ungern zu, aber ich war einfach zu blöd, den pc im abgesicherten modus zu starten - bei meinem alten pc war das kein problem, hier ging es einfach nicht - als ich dann noch plötzlich in einem bios-ähnlichen fenster war und komische dinge auswählen sollte, hab ich von noch mehr versuchen abstand genommen...). auf jeden fall kommt jetzt das verblüffende: der trojaner scheint weg zu sein. das warnfenster von norton springt nicht mehr auf und auch nach einem viren-scan wurde nichts mehr festgestellt (außer AdwareBegin.2search - aber das hab ich schon länger, norton sagt, das wär nur eine bedrohung und macht nichts dagegen - ich hab damit auch weiters keine probleme gehabt) - vom trojaner keine spur mehr. jetzt meine frage: versteckt er sich nur irgendwie oder sollte mein problem tatsächlich schon gelöst sein??? vielen dank!! lg jvc |
|
21.09.2007, 11:57
| #6 | ||
| Gesperrt | Trojan-Adclicker in Windows\System32\NSV26.DLL @jvc Zitat:
Zitat:
 Ein weiteres Indiz, daß ich sehr wahrscheinlich recht habe, denn Deine Java-Version ist veraltet, schau hier: C:\Programme\Java\jre1.5.0_11\bin\ssv.dll Ein weiteres Einfallstor für Schädlinge, außer, unvorsichtig beim Surfen zu sein. Und das ist noch längst nicht alles, wie Ungeziefer auf den Rechner kommen kann. Merke, neben der nötigen Skepsis und Vorsicht beim Surfen ist es u. a. das A und O, das Betriebssystem und alle Anwendungen, die mit dem Internet Verbindung aufnehmen können, ( Browser, Java, Plugins) stets und immer aktuell zu halten. Lade doch bitte mal die folgenden, fett markierten Dateien (nacheinander ) bei VirusTotal hoch, und poste das Ergebnis inkl. Dateigröße!C:\WINDOWS\system32\gzmrotate.dll C:\WINDOWS\System32\Rundll32.exe Link zu VirusTotal: VirusTotal - Free Online Virus and Malware Scan Soweit ich das bis jetzt beurteile, solltest Du schauen, ob Deine Win-XP-CD und Driver-Utilities-CD in Reichweite ist, aber warten wir das Ergebnis des Online-Scans ab. Oder hast Du zufällig eine sauberes Image? Grüße Geändert von Pelzmaus (21.09.2007 um 12:03 Uhr) Grund: Ergänzung hinzugefügt |
|
21.09.2007, 17:31
| #7 |
| | Trojan-Adclicker in Windows\System32\NSV26.DLL hallo, vielen dank für die antwort. hier erst mal das ergebnis der ersten datei: Datei gzmrotate.dll empfangen 2007.09.21 18:23:38 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.21.0 2007.09.20 - AntiVir 7.6.0.15 2007.09.21 DR/Agent.141853.A Authentium 4.93.8 2007.09.21 - Avast 4.7.1043.0 2007.09.20 - AVG 7.5.0.485 2007.09.21 - BitDefender 7.2 2007.09.21 - CAT-QuickHeal 9.00 2007.09.21 - ClamAV 0.91.2 2007.09.21 - DrWeb 4.33 2007.09.21 - eSafe 7.0.15.0 2007.09.19 - eTrust-Vet 31.2.5153 2007.09.21 - Ewido 4.0 2007.09.20 - FileAdvisor 1 2007.09.21 - Fortinet 3.11.0.0 2007.09.21 - F-Prot 4.3.2.48 2007.09.21 - F-Secure 6.70.13030.0 2007.09.21 - Ikarus T3.1.1.12 2007.09.21 - Kaspersky 4.0.2.24 2007.09.21 - McAfee 5125 2007.09.21 - Microsoft 1.2803 2007.09.21 Adware:Win32/AdRotator NOD32v2 2544 2007.09.21 - Norman 5.80.02 2007.09.21 - Panda 9.0.0.4 2007.09.21 - Prevx1 V2 2007.09.21 - Rising 19.41.42.00 2007.09.21 - Sophos 4.21.0 2007.09.21 Mal/Heuri-E Sunbelt 2.2.907.0 2007.09.20 - Symantec 10 2007.09.21 Adware.Begin2search TheHacker 6.2.5.064 2007.09.21 - VBA32 3.12.2.4 2007.09.20 - VirusBuster 4.3.26:9 2007.09.21 - Webwasher-Gateway 6.0.1 2007.09.21 Trojan.Agent.141853.A weitere Informationen File size: 62464 bytes MD5: 1a10cc10bc97fb3d8d19f5e7236c851e SHA1: 749d12ca2c2deea15607303af81201bd500d4039 packers: UPX packers: UPX packers: UPX |
|
21.09.2007, 17:34
| #8 | |
| | Trojan-Adclicker in Windows\System32\NSV26.DLL hallo pelzmaus, die 2. datei kommt gleich. während die hochladet, hätt ich noch eine frage. du hast folgendes geschrieben: Zitat:
was soll ich denn da jetzt machen - die datei hab ich gefunden... was nun?? zum anderen: ähm, ich hab leider keine ahnung, was ein image ist???? ich kenn mich leider nicht so gut aus... dankeschön!! lg jvc |
|
23.09.2007, 20:04
| #9 |
| | Trojan-Adclicker in Windows\System32\NSV26.DLL hier das HJT Logfile: Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 21:00:14, on 23.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Messenger\msmsgs.exe C:\downloads programme\Hijack\hijackthis\This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : R3 - Default URLSearchHook is missing O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing) O2 - BHO: (no name) - {26E45419-7205-4fac-BBFE-174BC7337A79} - (no file) O2 - BHO: (no name) - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - (no file) O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {54F33362-1828-4181-9CC7-4BC727C38B78} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Musikprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Search - ?p=ZN O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://safe.tele2.com/inc/accounthelper.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://l00kl23.com/default.cab?uid=54&id=51295&1s&ex&ppd=4&tag=32 O17 - HKLM\System\CCS\Services\Tcpip\..\{3C52965E-04C8-4316-85FD-DEFCBA09CAE7}: NameServer = 195.3.96.67,195.3.96.68 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter: text/html - (no CLSID) - (no file) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe den ordner hab ich gelöscht, die andere datei war nicht vorhanden. nach dem neustart im normalen modus kam folgende meldung: SpyBot hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde. Kategorie: SystemStartup global entry Änderung: Wert gelöscht Eintrag: hid_start Alte Daten: C:\Windows\System32\Rundll32.exe "C:\Windows\System32\gzmrotate.dll" DllVerify ich hab das fenster noch offen - soll ich jetzt erlauben oder verweigern? danke!! |
|
| Themen zu Trojan-Adclicker in Windows\System32\NSV26.DLL |
| .dll, antivirus, c:\windows, datei, eingefangen, gen, google, heute, interne, internet, laufen, löschen, neue, neue seite, norton, reparieren, surfen, system, system32, systemworks, trojaner, update, updated, viruswarnung, windows, windows xp |
Hybrid-Darstellung
