Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: winnrv32.exe ??

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.10.2004, 18:52   #1
wutentbrannt
 
winnrv32.exe ?? - Standard

winnrv32.exe ??



Hallo,
habe mittlerweile (glaub ich zumindest) fast alle Probleme behober.
Bin aber noch nicht so ganz sicher.
Vielleicht kann mal jemand ein Auge drauf werfen, wäre super!!



Logfile of HijackThis v1.98.2
Scan saved at 19:44:49, on 21.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINNT\System32\RunDll32.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
F:\a2\a2guard.exe
F:\Programme\BTTray.exe
F:\Programme\bin\btwdins.exe
C:\WINNT\System32\rundll32.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\slserv.exe
C:\Programme\WZCBDL Service\WZCBDLS.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
F:\eMule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.web.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\winnrv32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINNT\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [a²] "F:\a2\a2guard.exe"
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {064B603C-FA61-3E77-44E9-5C7D6BC0345F} - http://63.219.178.91/1/rdgDE1342.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...c337c1b770adf2
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093018372705
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab

Alt 21.10.2004, 19:05   #2
Wattewuschel
 
winnrv32.exe ?? - Standard

winnrv32.exe ??



Hallo.

Dein Windows ist nicht auf dem neuesten Stand. Update es hier zweck diverser Sicherheitslücke in Windows.

Auch dein Internetexplorer ist nicht auf dem neuesten Stand – auch updaten oder besser gleich einen sichereren alternativen Browser (z. B. Mozilla Firefox.

Zitat:
Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD
Zu deinem log:

Starte im abgesicherten Modus (Neustart - F8 drücken, bevor das Windows-Logo erscheint) und deaktiviere die Systemwiederherstellung (Arbeitsplatz - rechte Maustaste, Systemwiederherstellung, Häkchen rein).

Folgende Einträge solltest du fixen:

C:\WINNT\system32\slserv.exe ("Wenn SIS Treiber installiert sind normal. Es könnte auch der Virus W32/Gaobot.CR sein. Benutzen Sie ein Antivirenprogramm zum überprüfen."

O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\winnrv32.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...0c337c1b770adf2

Folgenden Eintrag solltest du fixen, wenn du das Programm/ die Website nicht kennst:

O16 - DPF: {064B603C-FA61-3E77-44E9-5C7D6BC0345F} - http://63.219.178.91/1/rdgDE1342.exe

Danach wieder in den normalen Modus starten und Systemwiederherstellung aktivieren.
__________________

__________________

Alt 21.10.2004, 19:17   #3
wutentbrannt
 
winnrv32.exe ?? - Standard

winnrv32.exe ??



@ Wattewuschel

Danke,
habe Firefox schon auf meinem Rechner!!!

Aber was ist ein SIS Treiber?? Vermute es könnte was mit einem alten, bereits entfernten, analog Modem zu tun haben???

Gruß
__________________

Alt 21.10.2004, 19:57   #4
warhawk
 
winnrv32.exe ?? - Standard

winnrv32.exe ??



Zitat:
Zitat von wutentbrannt
@ Wattewuschel

Danke,
habe Firefox schon auf meinem Rechner!!!

Aber was ist ein SIS Treiber?? Vermute es könnte was mit einem alten, bereits entfernten, analog Modem zu tun haben???

Gruß
Nein, SIS ist wie VIA,INTEL und CO auch Hersteller von diversen Produkten unter anderem für Mainboard Chipsätze. Bekannteste Mainboard war ECS K7S5A mit einen SIS735 drauf und ungeschlagen billig

Alt 21.10.2004, 20:03   #5
wutentbrannt
 
winnrv32.exe ?? - Standard

winnrv32.exe ??



Aha, da bin ich mir momentan nicht so sicher.

Werd es dann vorsichtshalber mal besser nicht fixen, oder???


Alt 21.10.2004, 20:09   #6
warhawk
 
winnrv32.exe ?? - Standard

winnrv32.exe ??



Zitat:
Zitat von wutentbrannt
Aha, da bin ich mir momentan nicht so sicher.

Werd es dann vorsichtshalber mal besser nicht fixen, oder???
Schau mal unter http://www.trojaner-board.de/showthread.php?t=8673

Schick uns einfach die Datein und wir lassen die in unserem Käfig los ))

Gruss
Michael

Alt 22.10.2004, 06:37   #7
Shadowdance
 
winnrv32.exe ?? - Standard

winnrv32.exe ??



oder überprüfe mit dem online-scan von Kaspersky:

C:\WINNT\system32\slserv.exe

SD

Alt 22.10.2004, 12:56   #8
wutentbrannt
 
winnrv32.exe ?? - Standard

winnrv32.exe ??



Hi,

Kapersky sagt "OK".

Also fix ich es mal lieber nicht!!

Dabke

Antwort

Themen zu winnrv32.exe ??
.exe, .inf, antivirus, antivirus scan, dateien, dll, einstellungen, excel, explorer, firefox, hijack, hijackthis, internet, internet explorer, internet security, messenger, microsoft, mozilla, mozilla firefox, norton internet security, nvcpl.dll, programme, rundll, security, software, super, symantec, system, temp, usb, windows, windows xp



Zum Thema winnrv32.exe ?? - Hallo, habe mittlerweile (glaub ich zumindest) fast alle Probleme behober. Bin aber noch nicht so ganz sicher. Vielleicht kann mal jemand ein Auge drauf werfen, wäre super!! Logfile of HijackThis - winnrv32.exe ??...
Archiv
Du betrachtest: winnrv32.exe ?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.