Logfile Eintrag taucht immer wieder auf..
 

Moin!

Ich hab da einen Eintrag im Logfile (017) der als evtl böse eingestuft wird. Dieser lässt sich fixen ist aber nach erneuter Einwahl wieder da. Wenn ich ihn allerdings fixe bevor ich den Explorer öffne findet der danach keinen Server mehr :confused:
Vielleicht kann mir jmd helfen...

Logfile of HijackThis v1.99.1
Scan saved at 15:40:39, on 31.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
E:\Toolz\CWS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128573328116
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE6424F1-4424-4EA2-83D4-A9346AAD0F8D}: NameServer = 85.255.114.11 85.255.112.150
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

[edit]
links entfernt
[/edit]

Wenn Du Deinen Provider in der Ukraine sitzen hast, wäre es normal. Aber im ernst, die Probleme die Du hast, musst Du Dir selbst zuschreiben:

Logfile of HijackThis v1.99.1
Scan saved at 15:40:39, on 31.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Hast Du schon mal was von SP2 und regelmäßigen Updates gehört.
Installiere umgehend SP2 und besuche die Microsoft bezüglich Updates.

Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
MiT Spybot immunisieren.
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Installiere Ewido und lasse prüfen
http://www.ewido.net/de/download/

Poste dann das Ergebnis.
Danach ein neues HJT-Logfile posten.

Sollte ich mit Ad-Aware die gefundenen Objekte in Quaratäne packen?

Spybot Update zeigt bei den Deutsch Discriptions immer "falsche Checksumme" an..

Ja, lasse sie erst mal in der Quarantäne.

Also Ewido hat 3mal Spyware.Alexa und 1 Trojan.DNSChanger.ag gefunden und in Quarantäne gepackt.

HJT sieht aber noch genauso aus..


Logfile of HijackThis v1.99.1
Scan saved at 19:22:21, on 31.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Spybot - Search & Destroy\TeaTimer.exe
D:\ewido\security suite\ewidoguard.exe
D:\ewido\security suite\ewidoctrl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\ewido\security suite\SecuritySuite.exe
E:\Toolz\CWS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128573328116
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130774545265
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE6424F1-4424-4EA2-83D4-A9346AAD0F8D}: NameServer = 85.255.114.11 85.255.112.150
O23 - Service: ewido security suite control - ewido networks - D:\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\ewido\security suite\ewidoguard.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Jetzt fixe mit HJT den 017-Eintrag, deaktiviere die Systemwiederherstellung und boote den PC neu. Prüfe mit HJT, ob der 017-er noch da ist.

Bei Spybot kann das manchmal vorkommen, muss später nochmals versuchen.

Die 017 taucht leider immernoch auf :(

Wie gesagt erscheint der Eintrag nur wenn ich mich ins Inet eingeloggt habe und wenn ich die Verbindung trenne verschwindet er auch wieder, allerdings geht im IE nix mehr wenn ich den Eintrag fixe bevor IE geöffnet wurde, fixe ich erst danach geht ne Weile aber irgendwann findet er dann keine Server mehr.

-Sollte ich die 4 Quarantäne Objekte von ewido entgültig entfernen oder hat das damit nichts zu tun?
-Kann es an der DFÜ Verbindung liegen und sollte ich diese neu einrichten?
-Sollte ich mir neue Inet Zugangsdaten zuschicken lassen?

Oder was kann ich sonst noch tun?

Hallo,
versuche es mal mit dem Wareout Hidden Remover und berichte.


Grüße Wildone

Hab das mal installiert usw. Der Eintrag ist im Abgesicherten natürlich nicht zu sehen, da er ja nur erscheint wenn ich ins Netz eingewählt bin. Hab auch nochmal Ewido im Abgesicherten laufen lassen und es wurde noch n spyware cookie gefunden und entfernt.
Wenn ich mich nun einlogge ist der Eintrag allerdings wieder da :schmoll:

Hallo,
dann fahren wir jetzt mal größere Geschütze auf.
Führe mal Silentrunners aus und poste das Log.
Und führe mal F-Secure Blacklight aus und poste auch dort das Log.


Grüße Wildone

"Silent Runners.vbs", revision 41, h**p://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS]
"SpybotSD TeaTimer" = "D:\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"iamapp" = "C:\Programme\Norton Internet Security\IAMAPP.EXE" ["Symantec Corporation"]
"NAV Agent" = "C:\PROGRA~1\NORTON~1\navapw32.exe" ["Symantec Corporation"]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
"SSC_UserPrompt" = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" ["Symantec Corporation"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"WinampAgent" = ""D:\Winamp3\winampa.exe"" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "D:\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "D:\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 DragDrop Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "D:\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "D:\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Property Sheet Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "D:\WinAce\arcext.dll" ["e-merge GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "D:\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "D:\ewido\security suite\context.dll" ["ewido networks"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {CLSID}\InProcServer32\(Default) = "D:\WinAce\arcext.dll" ["e-merge GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "D:\ewido\security suite\context.dll" ["ewido networks"]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {CLSID}\InProcServer32\(Default) = "D:\WinAce\arcext.dll" ["e-merge GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Großmeister\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Scheduled Tasks:
------------------------

"Norton AntiVirus - Scan my computer" -> launches: "C:\PROGRA~1\NORTON~1\NAVW32.exe /task:C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec\NORTON~1\Tasks\mycomp.sca" ["Symantec Corporation"]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

ewido security suite control, ewido security suite control, "D:\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "D:\ewido\security suite\ewidoguard.exe" ["ewido networks"]
Norton AntiVirus Auto Protect Service, navapsvc, "C:\Programme\Norton AntiVirus\navapsvc.exe" ["Symantec Corporation"]
Norton Internet Security Accounts Manager, NISUM, "C:\Programme\Norton Internet Security\NISUM.EXE" ["Symantec Corporation"]
Norton Internet Security Proxy Service, SymProxySvc, "C:\Programme\Norton Internet Security\SymProxySvc.exe" ["Symantec Corporation"]
Norton Internet Security Service, NISSERV, "C:\Programme\Norton Internet Security\NISSERV.EXE" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 141 seconds, including 18 seconds for message boxes)






11/01/05 15:33:36 [Info]: BlackLight Engine 1.0.24 initialized
11/01/05 15:33:36 [Info]: OS: 5.1 build 2600 ()
11/01/05 15:33:36 [Note]: 4019 4
11/01/05 15:33:36 [Note]: 4005 0
11/01/05 15:33:51 [Note]: 4006 0
11/01/05 15:33:51 [Note]: 4011 220
11/01/05 15:33:52 [Note]: FSRAW library version 1.7.1013
11/01/05 15:34:49 [Note]: 4007 0

Hallo,
also dann bin ich ratlos. In den Logs sind keinerlei Auffälligkeit zu sehen. Vielleicht hat ja sonst noch jemand eine Idee.


Grüße Wildone

Idee 1: Alle Temp-Files vom IE und von Windows im abgesicherten Modus mit www.clearprog.de löschen.
Idee 2: Laufende Prozesse mit dem Security Task Manager überprüfen.
Idde 3: RootkitRevealer verwenden.
Idee 4: Je nach Fund (insbesondere wenn nichts gefunden wird) das System neu aufsetzen. Beachte dazu folgendes (Punkt 2).

Würde davon denn evtl. was helfen?

Mir fällt grad noch ein dass Spybot 1 Objekt nicht enfernen konnte. Danach sollte ich rebooten und er hat gleich bei Windowsstart nochmal gesucht und nix mehr gefunden.. ^^

RootkitRevealer hat eine Datei gefunden C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf Hidden from Windows API.

Was soll ich damit anstellen? ^^

Noch ne Frage, sollte ich die ganzen Progs laufen lassen wenn ich im Inet eingeloggt bin, sodass das Problem überhaupt auftritt oder Offline, oder ist das unherheblich?

Kann bitte mal jmd auf meine Fragen antworten?

Alle Progs aufzählen, laufen lassen und wenn dann nicht weg, neuaufsetzen .. da wär ich vielleicht noch selber drauf gekommen :balla:

Prüfe nach, ob die genannte Datei noch vorhanden ist.
Ansonsten lese selbst nach:
http://www.f-secure.de/v-desk/rootkit.shtml

Das ist imo harmlos.


Mach doch einfach mal beides. Gibt's Unterschiede?

BTW: Wie gehst du ins Netz? Hast du deine Verbindung einfach schon mal neu angelegt?

Zunächst einmal handelt es sich bei der Masse der Programme nur um Analyse-Tools, die nichts von selbst entfernen. Es ist doch durchaus möglich, dass ein noch vorhandener Trojaner jedes Mal Änderungen am System vornimmt. Wenn nichts gefunden wird, hieße das im Zweifelsfall, dass sich der Schädling sehr gut tarnt. Würdest du noch mit einem solchen System arbeiten wollen?

Erstmal vielen Dank für eure Hilfe.

Online/Offline macht für mich keinen erkennbaren Unterschied.

Ich geh einfach über DFÜ mit RASPPPOE ins Netz. Hab ich noch nicht neu angelegt, hatte ganz am Anfang gefragt ob es evtl was bringen würde dies zu tun, aber da keiner drauf einging, hielt ich es für witzlos.
Kann mein Inet-Zugang ansich auch irgendwie manipuliert sein, sodass ich mir besser neue Zugangsdaten zuschicken lassen sollte?

Ansonsten habe ich auch noch eScan laufen lassen, welches 16 viren gefunden hat diese aber nicht entfernt oder umbenennt und wenn ich die MWAV datei lade tauchen sie auch nicht auf, nur ne mp3 datei von einer anderen Partition welche er aber auch nicht löschen kann. Wiso kann eScan die nicht entfernen?

Die Free-Version von Escan prüft nur und entfernt nichts.
Das mit dem Neuanlegen der I-Netverbindung kannst Du versuchen, aber ob es etwas bringt?

Hallo,
es wäre mal ganz interessanz zu erfahren welche Viren Escan gefunden hat, öffne mal die MWAV.LOG suche nach den Wörtern "infected" "tagged" und "offending" und poste die jeweiligen Einträge.


Grüße Wildone

Thu Nov 03 15:49:36 2005 => Offending file found: C:\Dokumente und Einstellungen\Großmeister\Lokale Einstellungen\temporary internet files\content.ie5\kkq4t9vh\ads[2].htm
Thu Nov 03 15:49:36 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 03 15:49:36 2005 => Offending file found: C:\Dokumente und Einstellungen\Großmeister\Lokale Einstellungen\Temporary Internet Files\content.ie5\kkq4t9vh\ads[2].htm
Thu Nov 03 15:49:36 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.


Thu Nov 03 15:49:40 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Shell.exe" refers to invalid object "D:\Destroyer Command\Shell.exe". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ubisoft\Silent Hunter III\". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ubisoft\". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dbx". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ERR". Action Taken: No Action Taken.

Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pf". Action Taken: No Action Taken.

Thu Nov 03 15:49:44 2005 => Entry "HKCR\TypeLib\{DA0AC514-C1AE-11D3-84E7-005004C65534}" refers to invalid object "C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwce.dll". Action Taken: No Action Taken.

Thu Nov 03 15:49:44 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.


Diesmal waren es nur noch 2 Viren, aber die gleichen Errors.

Aber gut zu wissen dass Free-Version nichts löscht. Dann muss ich mich nicht mehr wundern ^^

Hallo,
also die Fehler sind keine Problem, wenn du sie beseitigen willst, kannst du das mit Regseeker machen.
Auch die beiden Viren, die gefunden wurden haben nichts mit deinem Problem zu tun und sind durch das löschen der temporären Internetdateien (im IE auf Extras>>Internetoptionen) zu beseitigen.
Hast du es mal versucht den Eintrag manuell in der Registry zu entfernen?
Ich würde langsam auch zur Neuinstallation tendieren, da läuft irgend etwas auf deinem System und keiner weiß was es macht, und wie man es findet.


Grüße Wildone

Na immerhin ist man im Protecus-Forum auch noch nicht weiter :lach:
http://board.protecus.de/t19990.htm

Tipp: Verlinke dort auf diesen Thread, dann nimmt das "Silent Runners"-Logfile nicht soviel Platz weg...

@HansHansen,
wenn Du noch da bist, dann lade Dir mal Winpooch runter und melde welches Programm die registry verändern will.

Und hör auf den Leute hier und bei Protecus was vorzumachen, das kann ins Auge gehen.
Auf EIN Forum beschränken! Viel hilft hier nicht viel!

karaya

Hallo,
ich hatte HansHansen geraten auch mal bei Protecus zu posten, da die Leute dort manchmal noch auf andere Ideen kommen wie hier. Ist finde ich auch nichts gegen einzuwenden, wenn man die Erkenntnisse jeweils dem anderen Forum mitteilt, das hat nichts mit "etwas vormachen" zu tun.


Grüße Wildone

Dennoch sollte man in einem anderen Forum wenigstens auf seinen alten Thread verweisen.

btw: Ein Logfile mit dem Security Task Manager wäre u.U. doch recht interessant gewesen.

Moin.

Entschuldigt dass ich mich lange nicht hab blicken lassen.

Was allerdings mit "vormachen" gemeint ist kann ich mir nicht erklären. Vielleicht kann karaya das nochmal erläutern. :balla:
Ich habe da lediglich mein Problem beschrieben und dachte die Leute da würden eher durchblicken wenn sie eine Kurzform lesen als sich durch den ganzen Thread hier wühlen zu müssen.

Jedenfalls ist das Problem jetzt gelöst, wie ihr in dem Link von Haui sehen könnt. http://board.protecus.de/t19990.htm


Hatte schon noch vor auf den Thread dort zu verweisen, aber bissl viel um die Ohren.
Warum ich auf das Board gegangen bin, hat Wildone ja erläutert.

Ansonsten auch euch nochmal DANKE für eure Bemühungen.

Haut rein,

Hans

Das interessiert mich immernoch ^^

Dass das Problem gelöst wurde freut mich.
In diesem Fall gibt es imho auch nichts gegen ein Crossposting einzuwenden.

@HansHansen,
es ist recht oft festzustellen, dass Hilfesuchende in mehreren Foren gleichzeitig ihr Problem posten. Die Helfer laufen dann oft im Kreis, weil sie sich ständig ändernde Situationen konfrontiert sehen bzw. das ist der Zeitpunkt in denen ein erfahrener Helfer merkt, dass er nicht alleine ein Problem bearbeitet.
Das war auch in Deinem Fall so. Haui45 hat dies offensichtlich schnell gemerkt.
Dass Wildone Dir geraten hat Dich auch mal bei Protecus umzuschauen, ging aus dem Thead nicht hervor, so dass es für mich so aussah als wäre hier wieder jemand am Werk der glaubt schlauer als andere zu sein.

Nun dies war hier nicht der Fall und in diesem Fall habe ich mich zu entschuldigen.

karaya