Ein neuer Prozess??? Bitte um Hilfe
 

Guten Tag,
erstmal herzlichen Glückwunsch zu diesem Forum.

Ich habe auch gleich ein Problem, und ein ziemlich ungutes Gefühl im Magen. In meinem Taskmanager entdeckte ich beim Check einen Prozess "winva32.exe". Die gesamte "Google-Welt" schweigt sich aus. Kann mir hier jemand erklären, was das ist, und, ob ich das Teil einfach entfernen kann, zumal der Prozess erst seit dem 8.5.05 im Verzeichnis C:\Windows zu finden ist.

Schon mal vielen Dank für die Bemühungen.

Rappel

Poste bitte zunächst einen Log mittels Hijackthis .

Lass den Prozess auch mal hier checken:

http://virusscan.jotti.org/de/

http://www.malwareupload.com/

und teile uns das Ergebnis mit.Ggf. musst du den Prozess vorher im Taskmanager beenden.

Hi,

bei virusscann.jotti bekam ich folgendes Ergebnis:
Datei: winva32.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir TR/Agent.BI gefunden
Avast Win32:Trojano-1175 gefunden
AVG Antivirus Downloader.Agent.11.Q gefunden
BitDefender Trojan.Agent.BI gefunden
ClamAV Trojan.Agent-48 gefunden
Dr.Web BackDoor.Netag gefunden
F-Prot Antivirus W32/Agent.MO@dl gefunden
Fortinet W32/Agent.MO-tr gefunden
Kaspersky Anti-Virus Trojan.Win32.Agent.bi gefunden
mks_vir Trojan.Agent.Bi gefunden
NOD32 Win32/Agent.NAB gefunden
Norman Virus Control W32/Agent.COK gefunden
VBA32 Trojan.Win32.Agent.bi gefunden

http://virusscan.jotti.org/de/

Heißt das jetzt, daß ich diesen ganzen Mist auf meinem Rechner habe? Ich dachte ich bin sicher. Ich habe die Sygate-Firewall, bin über Arcor abgesichert, habe ADAWARE 6.0 und Symantec Antivir Prof Edition.

Gerade ist mir noch was aufgefallen. Ich bekomme laufend die Box:

"Die Anweisung (z.B.) "0x77f47d0c" verweist auf Speicher in (auch z.B:) "0x0101623a" Der Vorgang written konnte nicht durchgeführt werden.

Ich drücke abbrechen, und dann ist mein ADWATCH aus der Bottom-line raus.

Ich bin die drei Fragezeichen.
Gruß RAPPEL

FireWall schützt nicht von innen. Also wenn Du Dir schon was eingefangen hast, kann Deine FW nix nach außen blocken!

Hast Du denn aktuelle Updates/Signaturen?
Wenn nicht, schnleunigst nachholen und nochmals (OFFLINE) scannen lassen!

Gehe nach folgender Anleitung vor:
http://www.trojaner-board.de/showthread.php?t=12154,
weil Du folgendes Dir eingefangen hast:
http://www.sophos.de/virusinfo/analy...ojagentde.html

@ felix

Mal ganz ruhig mit den jungen Pferden, ich halte es für unwahrscheinlich, dass es sich bei o.g. Datei um die von Sophos genannte handelt.
Bis jetzt halte ich ein Neuaufsetzen noch nicht für nötig.


@ RAPPEL001

Du hast noch nicht alle meine Anweisungen ausgeführt.
Poste wie beschrieben erstmal einen Hijackthis Log.

Hi, Cronos,

mache ich bestimmt noch. Ist für mich als DAU natürlich neu und kompliziert. Ich habe eben mal folgendes gemacht:

Im abgesicherten Modus gestartet;
das Teil im Verzeichnis C:\Windows gelöscht;
im Taskmanager war es nicht mehr;
Mein Norton Antivir (ganz aktuelle Version) und mein Adaware drüberlaufen lassen; --> haben beide nichts gefunden;
Taskmanager nochmal überprüft, --> nichts;
neu gestartet;
Taskmanager -->nichts;

Aber ein komisches Gefühl habe ich immer noch. Mit dem Vaio war ich vorher immer in unserem Firmennetz, alles vom Feisten, und immer das neueste (lt. unseren Lan-Admins), deshalb bin ich zuhause jetzt etwas hilflos. Zumal ich zu dem Userkreis gehöre, die immer das blödeste und komplizierteste Problem haben. Wenn unter 1 MIO User etwas nur dreimal auftritt, ich bin dabei.

Gruß

RAPPEL

Fiel mir eben noch ein
 

Meine EDV Karriere habe ich vor 22 Jahren als Werkstudent bei IBM gestartet;
(360, 370-Familie und so, /34, /36 - Systeme) Aber immer nur im Bereich Vertrieb/Projektgeschäft/Marketing und eben als USER. Ich habe mich bis heute erfolgreich geweigert, mir zuviel von der Technik anzueignen. Aber "die EDV" ist immer noch nicht auf dem Stand, den der Mensch wirklich braucht und verstehen kann.

LANGSAM!!!

Aus diesem Grund bin ich froh, daß es solche Seiten mit solch erfahrenen und engagierten Membern gibt. Vielen Dank schon mal!

Sollte einer von Ihnen allerdings mal ein Problem mit einem alten PKW der Marke Citroen haben-> dann kann ich auch mal hilfreich vom Leder ziehen.

@RAPPEL001
kannst trotzdem mal ein HJT logfile posten
http://www.trojaner-board.de/showthread.php?t=17493
chaosman

Okay ich geh da gleich morgen früh 'ran.

Übrigens "fliege ich immer noch laufend aus dem I-Net s.u. "Written kann nicht..." Hatte wohl mit dem winva32 nichts zu tun. Gerade eben, als ich die pdf mit der HJT Anleitung downloaden wollte.

So, ich hab es tatsächlich geschafft. Hier ist mein HiJackThis Log file:

Logfile of HijackThis v1.99.1
Scan saved at 16:10:07, on 14.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Symantec\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Ad-aware 6\Ad-watch.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Hi jack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://freeXXXXX.com/tgp/out.php3?l=207
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {22913B6F-2B1A-9876-9E3D-460FBCE942CE} - C:\WINDOWS\winal.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Symantec\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Symantec\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Ad-watch] C:\Programme\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [ConnectionWatch] D:\1\ConWat9x.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windoxxxx.xxxxx.com/v5cons...?1118748995946
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\winva32.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Symantec\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

Könnt ihr da was verdächtiges feststellen, außer, daß ich immer noch nicht das SP2 installiert habe? Habe ich tausendmal probiert, aber ich scheitere bei MS auf der XP update Seite immer mit einem Fehler, den die aber selber nicht kennen.

Vorher hatte ich andere Fehler, die ich dann mit deren Hilfe auch ausmerzten konnte, aber bei deren SUCHE nach 0x80041schlagmichtot, nix. Soll ich mir das SP2 als CD bestellen?

Vielen Dank schon mal

Führe zunächst folgendes aus:

http://www.trojaner-info.de/anleitun...out_blank.html

Melde dich dann erneut mit einer Logdatei.
Das Service Pack 2 kannst du dir hier herunterladen oder alternativ hier bestellen .

Vielen Dank erstmal.

Konnten Sie denn etwas verdächtiges erkennen?

Da ist noch einiges Unschönes vorhanden. Aber nichts gravierendes.Dem nähern wir uns jetzt schrittweise.
Wichtig ist allerdings die schnellstmögliche Installation von SP2.

BTW: Im allg. wird sich in Foren, wie diesem, geduzt ;) .

Im allg. wird sich in Foren, wie diesem, geduzt ;)

Okay, babe

So, die Desinfektion von Seeker habe ich laufen lassen. Darauf spielte ad-watch verrückt, und meldete einen Reg-Modifikationsversuch nach der anderen. Habe ich alle blockiert; einen reboot gab es aber auch nicht.

Wat nu?

Ach ja, sorry, hier der LOG-File:

(15.6.05 00:16:52) SPSeHjFix started v1.1.2
(15.6.05 00:16:52) OS: WinXP (5.1.2600)
(15.6.05 00:16:52) Language: deutsch
(15.6.05 00:16:52) Win-Path: C:\WINDOWS
(15.6.05 00:16:52) System-Path: C:\WINDOWS\System32
(15.6.05 00:16:52) Temp-Path: C:\DOKUME~1\XXXXXXX\LOKALE~1\Temp\
(15.6.05 00:16:54) Disinfection started
(15.6.05 00:16:54) Bad-Dll(IEP): c:\windows\system32\kxbut.dll
(15.6.05 00:16:55) UBF: 4 - UBB: 3 - UBR: 10
(15.6.05 00:16:55) UBF: 4 - UBB: 3 - UBR: 10
(15.6.05 00:16:55) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\system32\kxbut.dll/sp.html#28129

Hallo RAPPEL001,
Du hast es aber bestimmt von Dir aus gemacht.
Gemeint war hier eine Hijackthis-Logdatei nach Anwendung des Tools, da noch was zu machen ist.

dartus

Vielen Dank Dartus. Un da isse:

Logfile of HijackThis v1.99.1
Scan saved at 08:09:04, on 15.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Ad-aware 6\Ad-watch.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Symantec\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\TOOLS\Hi jack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://frXXXXXXX.com/tgp/out.php3?l=207
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {22913B6F-2B1A-9876-9E3D-460FBCE942CE} - C:\WINDOWS\winal.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Symantec\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Symantec\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Ad-watch] C:\Programme\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [ConnectionWatch] D:\1\ConWat9x.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1118748995946
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\winva32.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Symantec\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

Soll ich denn schon mal SP2 anwerfen? Und was hat es mit der "kxbut.dll" -Datei auf sich? Die winva32.exe ist auch wieder da, allerdings nur im Win Ordner.

Wat nu?
Allseits schon mal einen schönen Tag.

DIese winva32.pf im Verzeichnis C:\windows\prefetch habe ich eben mal rausgeschmissen. War die einzige winvaxxx.xxx die ich noch gefunden habe.

Ich habe noch Zeit, ich schmeiß jetzt mal SP2 auf meine Orgel.

Hallo RAPPEL001,

normalerweise sollten die "R1"-Einträge nach Anwendung der SPSeHjFix verschwunden sein. Versuche es nochmal. Wenn kein Reboot erfolgt, entfernen wir es manuell.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

alle "R1"-Einträge (Ausnahme der mit dem Arcor-Hinweis)
O2 - BHO: Class - {22913B6F-2B1A-9876-9E3D-460FBCE942CE} - C:\WINDOWS\winal.dll
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\winva32.exe (file missing)

Lösche manuell:
C:\WINDOWS\winal.dll
c:\eied_s7.cab
c:\ex.cab
C:\WINDOWS\System32\vbsys2.dll
C:\WINDOWS\system32\kxbut.dll (wenn es mit dem Tool nicht geklappt hat)

Papierkorb leeren

Neustart --> Systemwiederherstellung kann wieder aktiviert werden

Neues HJT-Logfile

dartus

Welche Fehlermeldung bekommst du beim Updaten denn genau?

@Mountain King

Was genau meinst Du? Bei dem Seeker? Da keine, bleibt stehen, erstellt Logfile, und das wars.

Ich habe jetzt SP2 auf die Orgel geworfen.

Lief gut; mittendrin schlug Adwatch an wg Reg Modifizierung, dachte das gehört zum Spiel und habe es zugelassen; MS Firewall inst.; Win Update deaktiviert;

Nur, wenn ich jetzt ins Internet gehe, spielt meine Sygate Firewall verrückt, alle möglichen Programme wollen plötzlich irgendwohin telefonieren z.B.:

>Generic Host Process for Win32 Services;
>DLL used by PPPoE (hab ich dann beim 2.Mal zugelassen, denn ohne ging garnichts;
>NDIS ndisuio.sys
etc.
bis auf PPPoE hab ich alle geblockt.

Bitte helft mir, ich bin echt überfordert.

Hallo RAPPEL001,

wenn Du die "Firewall" von XP benutzt reicht das.
Hier ein paar Infos zu "Firewalls":

http://www.ntsvcfg.de/#_pfw
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Sichere besser Dein System entspr. der "12 Punkte" ab, insbesondere ist der Punkt 4 (NT-Dienste) zu beachten. Dann ist eine Firewall hinfällig.

dartus

P.S. kann Dir bei Deinem Firewall-Prob nicht helfen, da ich keine installiert habe

@DARTUS

vielen Dank für Deine Hilfe. Ich habe jetzt alles gemacht (abges. Modus, Hijack, gehakt, gelöscht etc.)

Aaaaaber : Reboot, Sys-Wiederherst., und schon wieder schlug ad-watch an: Hkey_current_user;
Software\Microsoft\Internet Explorer\Main
Start page,
about:blank

und bei dem erneuten Hijack log, waren sie alle wieder da, außer den von Dir genannten 016 Einträgen:
Logfile of HijackThis v1.99.1
Scan saved at 12:46:04, on 15.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Symantec\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Ad-aware 6\Ad-watch.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\TOOLS\Hi jack This\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Symantec\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Symantec\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Ad-watch] C:\Programme\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [ConnectionWatch] D:\1\ConWat9x.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1118748995946
O23 - Service: Workstation NetLogon Service ( 11Fßä #•ºÄÖ`I) - Unknown owner - C:\WINDOWS\winva32.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Symantec\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

Was aber am meisten nervt, sind die Firewall Popups. Bis ich da eine Antwort von euch habe, blocke ich jetzt alles.

Immer mit der Ruhe erstmal und Finger weg von der System wiederherstellung, es sei denn es geht nichts mehr.

Das Seeker tool löscht Du gleich mal denn das hilft Dir hier nichts.

Du downloadest jetzt mal:
www.malwarebytes.biz/AboutBuster5.zip und entzipst das in einen eigenen Ordner. z.B C:\Buster. Dann startest Du das tool und klickst auf update. Danach beendest Du das Tool das brauchst Du später.

Als nächtes downloadest Du http://cwshredder.net/bin/CWShredder.exe
und machst einen Doppelklick darauf. Nun findest Du auf deinem Desktop ein neues CWSshredder icon. Das brauchst Du auch gleich.

Boote in den abgesicherten Modus.
Wie erklärt man dir hier: http://service1.symantec.com/SUPPORT...20114122843924

Bleibe bis nach Adaware darin OHNE neustart.

Im Abgesicherten Modus starte HijackThis und fixe dies:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kxbut.dll/sp.html#28129
O23 - Service: Workstation NetLogon Service ( 11Fßä #•ºÄÖ`I) - Unknown owner - C:\WINDOWS\winva32.exe (file missing)
und klicke auf Fix.

Dann startest Du CWS Shredder und lass es alles machen was es will.

Dann startest Du About:buster und läßt es laufen.

Dann startest Du Adaware um den Rest rauszuspülen. (perform full system scan)
Mach einen neustart.

Downloade http://lineofire.geekstogo.com/cwsserviceremove.zip
entpacke es und füge es per doppelklick in Deine Registry ein. Bestätige Die Sicherhheitsabfrage mit Ja.

Mach einen neustart und poste ein neues HijackThis log zum checken.

Okay GNMPF,

mache ich, vielen Dank schonmal.

Oh, hab ich vergessen:

Soll ich die Systemwiederherstellung vorher deaktivieren? Oder geht das alles auch so?

So, mein neuer HIJACK log:

Logfile of HijackThis v1.99.1
Scan saved at 12:27:12, on 16.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Symantec\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Ad-aware 6\Ad-watch.exe
C:\TOOLS\Hi jack This\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Symantec\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Symantec\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ConnectionWatch] D:\1\ConWat9x.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Ad-watch] C:\Programme\Ad-aware 6\Ad-watch.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1118748995946
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Symantec\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

Scheint okay, oder?

Na also war doch garnicht so schwer :aplaus:

So nun noch zunageln.

Folgende Dateien können durch den HIjacker ersetzt/gelöscht sein.
Einfach schauen ob sie da sind (Cwsshredder entfernt sie wenn befallen)

* control.exe
* rundll32.exe
* wmplayer.exe
* msconfig.exe
* notepad.exe
* shell.dll

Du kannst sie hier: http://216.180.233.162/~merijn/winfiles.html downloaden.

Nun säubern wir Dein System Restore.
Deaktivieren, neustarten und wieder aktivieren. Alle Mistviecher sind nun entfernt worden. Über Start/ alle Programme/ zubehör/ Systemprogramme/ Systemwiederherstellung einen neuen sauberen Wiederherstellungspunkt setzen.

Des weiteren gehst Du bitte nach www.windowsupdate.com und lädst alle Sicherheitupdates runter. Dies wiederholst Du alle 14 Tage oder schalte das autoupdate ein.

Mit Spywareblaster wäre Dir dies nicht passiert: http://www.javacoolsoftware.com/spywareblaster.html

Downloaden, installieren, einmal im Monat updaten und Protection enable durchführen.

Gruß Gnmpf

Hi, Gnmpf,

ich sage vielen herzlichen Dank!!!!

Habe alles wie vorgeschlagen gemacht, und dabei viel dazugelernt.

Wünsche Dir eine schöne Zeit, und nochmal danke.

cu
Rappel001 (eigentlich Fussel, aber den gab es schon)