Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Norton meldet "IRC.Backdoor.trojan" (https://www.trojaner-board.de/28812-norton-meldet-irc-backdoor-trojan.html)

Drchem 26.04.2006 20:43
Norton meldet "IRC.Backdoor.trojan"
 
Einen schönen Guten Abend zusammen.
Leider habe ich mir gestern wohl was eingefangen. Seitdem bekomme ich laufend die Meldung von Norton 2006, dass er die o.g. "Gefahr" in der Datei "C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\hdb.dll" erkannt und gelöscht wurde. Besteätige ich mit OK, erscheint die Meldung direkt wieder.
Meine HDD ist in 2 Partitionen unterteilt. Zuerst habe ich das System neu aufgesetzt, allerdings erscheint die Meldung nach einer gewissen Zeit wieder. Dann habe ich meine ganzen Eigenen Dateien auf eine USB-Platte kopiert und die ganze PC-HDD formatiert und wieder neu aufgesetzt. Spiele ich meine eigenen Dateien wieder zurück, kommt die Meldung irgendwann wieder.
Ich werd noch verrückt und weiss nicht, was ich noch machen soll. Habe die Daten auf der USB-HDD am Laptop scannen lassen (mit Norton 2006) -> kein Ergebnis.
Ich biite um Hilfe, denn viele der Eigenen Daten brauche ich wirklich dringend, ein Verlust wäre also nicht besonders toll.

Hier mein HijackThis-Log. zum "Studium" ;-) :

Logfile of HijackThis v1.99.1
Scan saved at 21:24:43, on 26.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Tools\Norton\Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Tools\Norton\SystemWorks\Norton Ghost\Agent\VProSvc.exe
C:\PROGRA~1\Tools\Norton\SYSTEM~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Tools\Norton\Internet Security\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\Tools\Norton\SYSTEM~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Tools\Norton\SystemWorks\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

O2 - BHO: MSNToolBandBHO - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\msntb.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Tools\Norton\Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Tools\Norton\Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Programme\Tools\Norton\SystemWorks\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Brenner\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\Internet\GMX SMS-Manager\SMSMngr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\Internet\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\Internet\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Tools\Norton\Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Tools\Norton\Internet Security\comHost.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Tools\Norton\Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Tools\Norton\SystemWorks\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\Tools\Norton\SYSTEM~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Tools\Norton\Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\Tools\Norton\SYSTEM~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


Grüße und Danke

Drchem

EDIT : Scans im Abgesicherten Modus blieben leider auch erfolglos.
EDIT 2 : Aktuell hab ich nur das XP SP2 ohne weitere Updates; hab das System eben erst installiert.

EDIT durch Shadow: Aktive Links stillgelegt

Markus1234 26.04.2006 23:02
Auf die Schnelle hab ich nix auffälliges im Logfile gefunden.

Benutzt du evtl. einen IRC-Clienten wie mIRC?
Es gibt leider viele unseriösen IRC-Clienten, die oft mit schadhaftem Code verseucht sind.

Auch kommt es vor, dass der Anwender durch eigenständiges Ausführen von Code in einer Query(Privaten Nachricht) sich einen Backdoor installiert.

Auch gibt es "verseuchte Bilder" die gerne über Queries geschickt werden.

Wenn du Windows neu Installierst bin ich mir nicht sicher ob der Temp-Ordner auch geleert wird, obwohl sich ja die Pfade in den D&E ändern.

mfg,
Markus

monrail 27.04.2006 07:42
Zitat:
Zitat von Markus1234
Auch kommt es vor, dass der Anwender durch eigenständiges Ausführen von Code in einer Query(Privaten Nachricht) sich einen Backdoor installiert. (Zitatebene erstellt durch Moderator)
wie soll das gehen? erst wenn er nen verseuchten link klickt gehts oder wenn ihn jemand nen code schickt er keine ahnung hat davon und es installiert dann is er infiziert aber nur nen code im qry anschaun is nix
da will anscheinend jemand seine authdaten aber dieser backdoor is doch schon alt im qnet is immer noch optix pro im gange :)

@Drchem
du schreibst hast dein system neu aufgesetzt aber wie genau? formatiert oder windows nur neu rübergespielt? denke eher an 2te weil es ja ne tmp is

Shadow 27.04.2006 07:58
@ Monrail: bitte mache Zitate auch als solche kenntlich, habe es mal für dich nachgeholt. :)

@ Drchem: eine Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung!

Um mal Einzugrenzen ob da irgendwas auf deinen Daten auf der USB-HD ist, kannst du diese mit einem On-Demand(!)-AV-Scanner prüfen lassen.
eScan, BitDefender etc..., viele Hersteller bieten einen kostenfreien On-Demand-Scanner zum Herunterladen (bzw. du kannst auch einen Online-Scan machen, würde aber "on-Demand-Download vorziehen).
Es wäre z.B. möglich dass in einer (mehrfach)komprimierten Datei eine Malware einen Scan durch Norton überlebt. Dies gilt für andere AV-Programe auch, aber sowohl BitDefender wie eScan (Kaspersky) nutzen eine andere Engine., also vielleicht ...

Ansonsten: Welchen Grund gibt es, nach einem Neuaufspielen von Windows nicht als erstes sein System mit den Sicherheuitspatches zu flicken? :balla:

Markus1234 27.04.2006 13:43
Zitat:
wie soll das gehen? erst wenn er nen verseuchten link klickt gehts oder wenn ihn jemand nen code schickt er keine ahnung hat davon und es installiert dann is er infiziert aber nur nen code im qry anschaun is nix
Das hab ich auch nicht behauptet. Bitte schreib etwas leserlicher, evtl. mit Großbuchstaben, das ich mir den dekodier-Vorgang sparen kann - danke :daumenhoc

Es gibt IRC Bots, die eine Zeile Code im Query senden - dazu wird geschrieben "Kopiere diesen Code ins Nachrichtenfenster und drücke Enter um - >>beliebige begierde<<".

mfg,
Markus

waggi82 29.04.2006 11:02
Hi Leute!

Ich habe das selbe Problem! Wäre dankbar, wenn mir jemand helfen könnte, weil ich mir eine Neuinstallation gerne ersparen würde... ;)

Gruß, Waggi

Sunny 29.04.2006 11:07
Zitat:
Zitat von waggi82
Hi Leute!

Ich habe das selbe Problem! Wäre dankbar, wenn mir jemand helfen könnte, weil ich mir eine Neuinstallation gerne ersparen würde... ;)

Gruß, Waggi
Dann eröffne einen neuen Thread da es sonst zu unübersichtlich wird..

Gruß
Daniel

Drchem 29.04.2006 18:30
So, hallo. da bin ich wieder.

Sorry, aber irgendwie scheints hier keine Mailbenachrichtigung zu geben.

Eins vorweg : Ich bin eigentlich kein Noob, was PCs angeht. Ich mache seit 4-5 Jahren PCs im Bekannten- und Freundeskreis und bin eigentlich selbst derjenige, der gerufen wird, wenn was nicht klappt.
Und ja, normalerweise kommen zuerst die XP-Updates drauf (Post-SP2). Bin auch hinter nem Router und hatte auch noch NIE ein Problem mit nem Virus oder Trojaner; also in den letzten JAHREN kein einziges Mal. Hab auch Sasser unbeschadet überlebt ;-).

Unter "Windows neu aufspielen" versteh ich natürlich das vorherige Formatieren, von solchen Reparatur-Installationen halte ich nix. Und nein, ich hab kein IRC

Zuerst hab ich nur C formatiert und XP wieder neu aufgespielt. Da ich aber nen Teil meiner kleineren Progrämmchen und Tools auf D habe (und ne Kopie davon auf meiner ext. HDD), trat das Problem anschließend wieder auf.
Dann hab ich hier ja geschrieben. Auch kein Onlinescanner brachte ein Ergebnis; weder auf der ext. HDD noch auf meinem PC.

Also hab ich alle eigenen Dateien auf meinen Laptop kopiert, am PC beide Partitionen aufgelöst, die HDD formatiert und XP wieder neu aufgespielt. Da hab ich jetzt auch keine Probleme mehr.... aber jetzt hab ichs aufm Laptop :D . Allerdings war da zwischendurch natürlich auch die ext. HDD mit den Tools dran.

Hab mir mittlerweile auch ein Backup meiner Tools von DVD wieder auf die ext. HDD gespielt (paar Monate alt, also clean).

An sich ist das nun alles nicht mehr dramatisch, da ich aufm Laptop nix wichtiges hab, aber ich würde ja DOCH gerne mal wissen, was das fürn Quark is und ob man den irgendwie wegbekommt. Hier mal das HijackThis-File meines Laptops (wo das Problem gerade eben zum ersten Mal aufgetreten ist :D ) :

Logfile of HijackThis v1.99.1
Scan saved at 19:28:33, on 29.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Tools\Norton\Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Tools\Norton\SystemWorks\Norton Ghost\Agent\VProSvc.exe
C:\PROGRA~1\Tools\Norton\SYSTEM~1\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\Tools\Norton\SYSTEM~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Power Manager\PM.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tools\StatBar\StatBar.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\DOKUME~1\RE~1\LOKALE~1\Temp\mdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Media\Adobe Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: MSNToolBandBHO - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\msntb.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Tools\Norton\Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Tools\Norton\Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\Internet\ReGet\iebar.dll
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StatBar] C:\Programme\Tools\StatBar\StatBar.exe
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\Internet\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\Internet\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143663078126
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Tools\Norton\pcAnywhere\awhost32.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Tools\Norton\Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Tools\Norton\Internet Security\comHost.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Tools\Norton\Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Tools\Norton\SystemWorks\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\Tools\Norton\SYSTEM~1\NORTON~1\NPROTECT.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Tools\Norton\Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\Tools\Norton\SYSTEM~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


Gruß

Drchem

Shadow 29.04.2006 18:40
Datei "C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\hdb.dll" jetzt auch auf dem Laptop?

Wurde das "Problem" dort auch schon von Norton gelöst?
Welche Gefahr benennt Norton denn?
Auch Norton macht ein Log, will sehen!

Drchem 29.04.2006 19:09
genau die gleiche Meldung wie aufm PC. Datei wird angeblich gelöscht, Meldung kommt immer wieder, nachdem mit OK bestätigt wurde. Auszug ausm Virenbericht :

Quelle: C:\DOKUME~1\******\LOKALE~1\Temp\hbd.dll
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: IRC.Backdoor.Trojan
Durchgeführte Aktion: Automatisch gelöscht


Gruß

Drchem

Shadow 29.04.2006 20:44
Ist die Datei im Quarantäneordner?

Drchem 29.04.2006 20:49
Eine Kopie davon anscheinend ja. Und zwar so oft, wie ich die Meldung bestätigt habe. Allerdings befindet sie sich auch weiterhin im Temp-Ordner.

Drchem

Drchem 30.04.2006 19:34
Also irgendwie is mir das langsam unheimlich. Hab meinen Laptop grad neuinstalliert und da hab ich das auch, obwohl ich von der gleichen ext. HDD installiert habe wie heute Mittag bei nem Kumpel.... und bei dem is nix.
Irgendwie is das alles bissl verwirrend....

Grüße

Drchem

Shadow 01.05.2006 10:53
Zitat:
Zitat von Drchem
Allerdings befindet sie sich auch weiterhin im Temp-Ordner.
Hatten wir die schon bei Jotti oder bei Virustotal.com?
Von wann ist "deine"/NAVs Virussignatur?
Hatte der Kumpel auch NAV drauf?

Ist der *****-Nutzer der Administrator?


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:22 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28