|
Infected ! Hi, hoffe mir kann jemand helfen. bin mir ziemlich sicher dass ich nen backdoor oder irgend nen andren shice aufm rechner hab. Norton findet nix, antivir ebenfalls nich, ad-aware auch nich. hijackthis hat unter windows 25 prozesse aufgelistet, aber als ich hijackthis laufen hatte waren 31 prozesse geöffnet, unteranderem wmiprvse.exe... ad-aware dursucht ordner die nich im explorer aufgeführt sind ( hab versteckte dateien/system dat. eingeblendet) mediaplayer spielt keinen sound ab obwohl treiber installiert sind und soundkarte betriebsbereit ist. Unter Windows krieg ich keine Verbindung mehr zu Websites, aber der esel läuft noch...egal was ich öffnen will,der rechner läd sich nen Wolf,aber prozessorauslastung is unter 10%...Sobald ich meinen router ausschalte geht das laden wieder wie es sollte. Im abgesicherten modus funzt I-net ganz normal. Ich hab wirklich keine Ahnung was das ist. Hoffentlich hat von euch jemand ne idee. thx schon ma Scr00m Logfile of HijackThis v1.99.1 Scan saved at 00:50:42, on 15.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Spyware Doctor\swdoctor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe G:\alcohol120\Alcohol 120\StarWind\StarWindService.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\taskmgr.exe G:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [Spyware Doctor] "C:\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe O23 - Service: FV - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\Sc00m\LOKALE~1\Temp\FV.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PKSYU - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\Sc00m\LOKALE~1\Temp\PKSYU.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - G:\alcohol120\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: VDMLQFCASSC - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\Sc00m\LOKALE~1\Temp\VDMLQFCASSC.exe |
Da Du eh den Rootkitrevealer hast laufen lassen, poste doch bitte mal das Log. Dazu noch ein eScan Log, welches mit Hilfe der find.bat erstellt wurde. Halte Dich exakt und Wort für Wort an die Anleitung, sonst geht die Auswertung mit der find.bat schief: http://www.trojaner-board.de/showthread.php?t=17492 |
So thx erstma für eure(deine) Mühe... 4 mal mit revealer geöffnet... jedesmal ging noch ein andrer( immer unterschielicher) Prozess auf beim ersten mal SHE.EXE, Proz.auslastung auf 99% system nicht mehr ansprechbar, sprich kein log(norton wurde mit 3 einträgen angezeigt was beim andren scan nicht mehr war. Beim 2ten scan von dem auch das log ist ging NCKAT.EXE auf, beim dritten starten UXWJOMNOTKG.EXE und beim 4ten mal STYTZPNAZ.EXE.( ich denk wenn ichs 10 mal versucht hätte wärn noch 6 andre prozesse dabei).. bei den letzten beiden hab ich nicht mehr gescannt. Nun ma die logs: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Feb 15 03:33:26 2006 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken. Wed Feb 15 03:33:27 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken. Wed Feb 15 03:34:05 2006 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\1EBF720E.tmp infected by "Trojan-Downloader.Java.OpenStream.w" Virus! Action Taken: No Action Taken. Wed Feb 15 03:41:16 2006 => Scanning File C:\Programme\a-squared\infected.txt Wed Feb 15 10:03:33 2006 => Total Disinfected Objects: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Feb 15 08:12:13 2006 => File G:\Pr0gZ\girc442.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Feb 15 03:33:18 2006 => Offending Folder found: C:\WINDOWS\system32\cache329 Wed Feb 15 03:33:25 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Sc00m\Eigene Dateien\thq\mxvsatv unleashed\save Wed Feb 15 03:33:26 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_ Wed Feb 15 03:33:27 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Feb 15 10:03:33 2006 => Total Objects Scanned: 48704 Wed Feb 15 10:03:33 2006 => Total Critical Objects: 6 Wed Feb 15 10:03:33 2006 => Total Disinfected Objects: 0 Wed Feb 15 10:03:33 2006 => Total Deleted Objects: 0 Wed Feb 15 10:03:33 2006 => Total Errors: 107 Wed Feb 15 10:03:33 2006 => Time Elapsed: 06:30:33 Wed Feb 15 03:28:37 2006 => Virus Database Date: 2/3/2006 Wed Feb 15 03:30:44 2006 => Virus Database Date: 2/15/2006 Wed Feb 15 10:03:33 2006 => Virus Database Date: 2/15/2006 Wed Feb 15 12:32:10 2006 => Virus Database Date: 2/15/2006 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ un noch revealer log : HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 3.2.2006 18:50 58 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet001\Services\vax347s\Config\jdgg40 15.2.2006 12:42 0 bytes Hidden from Windows API. C:\$AttrDef 24.1.2006 05:04 2.50 KB Hidden from Windows API. C:\$BadClus 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\$BadClus:$Bad 24.1.2006 05:04 19.13 GB Hidden from Windows API. C:\$Bitmap 24.1.2006 05:04 612.10 KB Hidden from Windows API. C:\$Boot 24.1.2006 05:04 8.00 KB Hidden from Windows API. C:\$Extend 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\$Extend\$ObjId 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\$Extend\$Quota 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\$Extend\$Reparse 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\$LogFile 24.1.2006 05:04 64.00 MB Hidden from Windows API. C:\$MFT 24.1.2006 05:04 22.86 MB Hidden from Windows API. C:\$MFTMirr 24.1.2006 05:04 4.00 KB Hidden from Windows API. C:\$Secure 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\$UpCase 24.1.2006 05:04 128.00 KB Hidden from Windows API. C:\$Volume 24.1.2006 05:04 0 bytes Hidden from Windows API. C:\RECYCLER\S-1-5-21-789336058-790525478-839522115-1003\Dc2.bat 15.2.2006 12:39 0 bytes Visible in Windows API, but not in MFT or directory index. C:\RECYCLER\S-1-5-21-789336058-790525478-839522115-1003\Dc2.bat\Find.bat 15.1.2006 19:27 2.15 KB Visible in Windows API, but not in MFT or directory index. D:\$AttrDef 31.1.2006 12:06 2.50 KB Hidden from Windows API. D:\$BadClus 31.1.2006 12:06 0 bytes Hidden from Windows API. D:\$BadClus:$Bad 31.1.2006 12:06 38.28 GB Hidden from Windows API. D:\$Bitmap 31.1.2006 12:06 9.57 MB Hidden from Windows API. D:\$Boot 31.1.2006 12:06 8.00 KB Hidden from Windows API. D:\$Extend 31.1.2006 12:06 0 bytes Hidden from Windows API. D:\$Extend\$ObjId 31.1.2006 12:08 0 bytes Hidden from Windows API. D:\$Extend\$Quota 31.1.2006 12:08 0 bytes Hidden from Windows API. D:\$Extend\$Reparse 31.1.2006 12:08 0 bytes Hidden from Windows API. D:\$LogFile 31.1.2006 12:06 64.00 MB Hidden from Windows API. D:\$MFT 31.1.2006 12:06 464.00 KB Hidden from Windows API. D:\$MFTMirr 31.1.2006 12:06 4.00 KB Hidden from Windows API. D:\$Secure 31.1.2006 12:06 0 bytes Hidden from Windows API. D:\$UpCase 31.1.2006 12:06 128.00 KB Hidden from Windows API. D:\$Volume 31.1.2006 12:06 0 bytes Hidden from Windows API. G:\$AttrDef 3.6.2005 20:17 2.50 KB Hidden from Windows API. G:\$BadClus 3.6.2005 20:17 0 bytes Hidden from Windows API. G:\$BadClus:$Bad 3.6.2005 20:17 233.76 GB Hidden from Windows API. G:\$Bitmap 3.6.2005 20:17 58.44 MB Hidden from Windows API. G:\$Boot 3.6.2005 20:17 8.00 KB Hidden from Windows API. G:\$Extend 3.6.2005 20:17 0 bytes Hidden from Windows API. G:\$Extend\$ObjId 3.6.2005 20:17 0 bytes Hidden from Windows API. G:\$Extend\$Quota 3.6.2005 20:17 0 bytes Hidden from Windows API. G:\$Extend\$Reparse 3.6.2005 20:17 0 bytes Hidden from Windows API. G:\$LogFile 3.6.2005 20:17 64.00 MB Hidden from Windows API. G:\$MFT 3.6.2005 20:17 21.30 MB Hidden from Windows API. G:\$MFTMirr 3.6.2005 20:17 4.00 KB Hidden from Windows API. G:\$Secure 3.6.2005 20:17 0 bytes Hidden from Windows API. G:\$UpCase 3.6.2005 20:17 128.00 KB Hidden from Windows API. G:\$Volume 3.6.2005 20:17 0 bytes Hidden from Windows API. GreetZ Scr00m |
Also das meiste sind Metadaten. Die Einträge sind ok. Da ist zwar Cydoor drauf, aber ich glaube nicht, dass das so einen Ärger macht. Scanne bitte nocht mit Blacklight und berichte. |
thx für deine schnelle antwort... blacklight findet nichts <-- log macht wenig sinn, poste es trotzdem mal 02/15/06 15:18:47 [Info]: BlackLight Engine 1.0.30 initialized 02/15/06 15:18:47 [Info]: OS: 5.1 build 2600 (Service Pack 2) 02/15/06 15:18:47 [Note]: 7019 4 02/15/06 15:18:47 [Note]: 7005 0 02/15/06 15:19:01 [Note]: 7006 0 02/15/06 15:19:01 [Note]: 7011 1940 02/15/06 15:19:03 [Note]: FSRAW library version 1.7.1014 02/15/06 15:20:29 [Note]: 7007 0 Norton hat eben unter windows nen zugriffsversuch eines Remote-systems gemeldet, und ein unbekanntes prog versuchte mit hilfe von LuComServer_2_7.EXE aufs internet zuzugreifen GreetZ Scr00m |
Schau mal, ob Du diese LuComserver-Datei finden kannst und lasse sie bei jotti prüfen. Es kann aber ein ganz gewaltiger Bug von Norton sein: http://www.lucom-gmbh.de/web/side25....ee8ce926f6222e |
auf jotti wird nichts gefunden ... ich hab wirklich langsam keinen plan mehr was mit dem rechner los is. GreetZ Scr00m |
Ich blci da grad auch nicht mehr durch. Am besten wartest Du, bis sich das mal jemand anders angeschaut hat. Während dessen kannst Du mal noch folgendes machen: Lade Dir mal Filemon von Sysinternals und mache folgende Einstellungen Include: LuComServer_2_7.EXE Exclude: Highlight: Einfach nebenher laufen lassen und mal schauen was auf die Datei zugreifen will |
k werd ich mal ausprobieren... trotzdem thx für deine Bemühungen GreetZ Scr00m |
Hallo Scr00m ich schau mal nach ;) stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html |
soo hab grad ewido laufen lassen ... updaten funzte nicht, da mal wieder ein unbekanntes prog drauf zu greifen wollte. Wenn ich mit firefox ins netz will, versucht ein unbek. prog. mit hilfe von svchost.exe aufs internet zuzugreifen... Ewido "ohne" update, hat lediglich 11 tracking cookies gefunden.... Als ich filemon laufen hatte, versuchte wieder ein unbekanntes prog mit dem LuComserver_2_7.exe zumnetz zu verbinden. Nachdem ichs 3 oder 4 mal blockiert hab war funkstille, normalerweise musste ich mindestens 12-14 mal blockieren bis es ruhe gab ?!?!? Hat evtl. noch jemand ne idee? Bin über jeden Ratschlag dankbar hi sabina thx für deine hilfe ... werd ich gleich mal machen GreetZ Scr00m |
versucht diese exe Anschluss an den PC zu bekommen ? ;) c:\program files\symantec\liveupdate\lucomserver_2_7.exe |
Zitat:
Was zeigt Filemon an beim Zugriff auf die lucom-Datei (Spalte Process)? @Sabina http://www.lucom-gmbh.de/web/side25....ee8ce926f6222e So wie ich den TO verstanden habe, versucht ein Programm über lucom aufs Netz zuzugreifen. Also nicht lucom selbst. Aber so ganz peil ich das nicht. Deswegen auch meine PN. |
Zitat:
|
Zitat:
|
thx für deine mühe ... Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D454-CFEB Verzeichnis von C:\WINDOWS\system32 15.02.2006 16:33 43.573 nvapps.xml 15.02.2006 01:15 91.888 FNTCACHE.DAT 14.02.2006 22:52 16.384 UQCCDJMSZO 14.02.2006 22:50 1.207.857 EDDBS 14.02.2006 16:31 39.992 perfc009.dat 14.02.2006 16:31 311.604 perfh009.dat 14.02.2006 16:31 316.594 perfh007.dat 14.02.2006 16:31 48.156 perfc007.dat 14.02.2006 16:31 723.744 PerfStringBackup.INI 14.02.2006 10:37 288 $winnt$.inf 14.02.2006 10:37 2.206 wpa.dbl 14.02.2006 10:25 16.832 amcompat.tlb 14.02.2006 10:25 23.392 nscompat.tlb 14.02.2006 10:23 488 WindowsLogon.manifest 14.02.2006 10:23 488 logonui.exe.manifest 14.02.2006 10:22 749 sapi.cpl.manifest 14.02.2006 10:22 749 wuaucpl.cpl.manifest 14.02.2006 10:22 749 cdplayer.exe.manifest 14.02.2006 10:22 749 nwc.cpl.manifest 14.02.2006 10:22 749 ncpa.cpl.manifest 14.02.2006 10:20 22.880 emptyregdb.dat 07.02.2006 08:38 7.006 jupdate-1.5.0_06-b05.log 24.01.2006 07:48 2.951 CONFIG.NT 24.01.2006 04:33 0 h323log.txt 10.01.2006 08:07 87.808 S32EVNT1.DLL 04.01.2006 19:46 2.836.320 MRT.exe 10.12.2005 04:16 180.224 NVUNINST.EXE 10.12.2005 03:06 110.592 nvapi.dll 10.12.2005 03:06 442.368 nvappbar.exe 10.12.2005 03:06 35.840 nvcod.dll 10.12.2005 03:06 35.840 nvcodins.dll 10.12.2005 03:06 147.456 nvcolor.exe 10.12.2005 03:06 7.311.360 nvcpl.dll 10.12.2005 03:06 16.356 nvdisp.nvu 10.12.2005 03:06 1.339.392 nvdspsch.exe 10.12.2005 03:06 573.440 nvhwvid.dll 10.12.2005 03:06 1.466.368 nview.dll 10.12.2005 03:06 229.376 nvmccs.dll 10.12.2005 03:06 45.056 nvmccsrs.dll 10.12.2005 03:06 86.016 nvmctray.dll 10.12.2005 03:06 286.720 nvnt4cpl.dll 10.12.2005 03:06 5.402.624 nvoglnt.dll 10.12.2005 03:06 319.488 nvrsar.dll 10.12.2005 03:06 241.664 nvrscs.dll 10.12.2005 03:06 245.760 nvrsda.dll 10.12.2005 03:06 270.336 nvrsde.dll 10.12.2005 03:06 274.432 nvrsel.dll 10.12.2005 03:06 241.664 nvrseng.dll 10.12.2005 03:06 274.432 nvrses.dll 10.12.2005 03:06 266.240 nvrsesm.dll 10.12.2005 03:06 241.664 nvrsfi.dll 10.12.2005 03:06 278.528 nvrsfr.dll 10.12.2005 03:06 319.488 nvrshe.dll 10.12.2005 03:06 253.952 nvrshu.dll 10.12.2005 03:06 274.432 nvrsit.dll 10.12.2005 03:06 258.048 nvrsja.dll 10.12.2005 03:06 253.952 nvrsko.dll 10.12.2005 03:06 266.240 nvrsnl.dll 10.12.2005 03:06 249.856 nvrsno.dll 10.12.2005 03:06 3.955.456 nv4_disp.dll 10.12.2005 03:06 266.240 nvrspt.dll 10.12.2005 03:06 262.144 nvrsptb.dll 10.12.2005 03:06 262.144 nvrsru.dll 10.12.2005 03:06 425.984 keystone.exe 10.12.2005 03:06 249.856 nvrssk.dll 10.12.2005 03:06 249.856 nvrssl.dll 10.12.2005 03:06 1.519.616 nwiz.exe 10.12.2005 03:06 167.936 nvwrszht.dll 10.12.2005 03:06 163.840 nvwrszhc.dll 10.12.2005 03:06 303.104 nvwrstr.dll 10.12.2005 03:06 294.912 nvwrssv.dll 10.12.2005 03:06 303.104 nvwrssl.dll 10.12.2005 03:06 299.008 nvwrssk.dll 10.12.2005 03:06 315.392 nvwrsru.dll 10.12.2005 03:06 319.488 nvwrsptb.dll 10.12.2005 03:06 323.584 nvwrspt.dll 10.12.2005 03:06 294.912 nvwrspl.dll 10.12.2005 03:06 299.008 nvwrsno.dll 10.12.2005 03:06 319.488 nvwrsnl.dll 10.12.2005 03:06 196.608 nvwrsko.dll 10.12.2005 03:06 212.992 nvwrsja.dll 10.12.2005 03:06 323.584 nvwrsit.dll 10.12.2005 03:06 315.392 nvwrshu.dll 10.12.2005 03:06 278.528 nvwrshe.dll 10.12.2005 03:06 327.680 nvwrsfr.dll 10.12.2005 03:06 303.104 nvwrsfi.dll 10.12.2005 03:06 327.680 nvwrsesm.dll 10.12.2005 03:06 335.872 nvwrses.dll 10.12.2005 03:06 286.720 nvwrseng.dll 10.12.2005 03:06 335.872 nvwrsel.dll 10.12.2005 03:06 311.296 nvwrsde.dll 10.12.2005 03:06 294.912 nvwrsda.dll 10.12.2005 03:06 286.720 nvwrscs.dll 10.12.2005 03:06 282.624 nvwrsar.dll 10.12.2005 03:06 1.019.904 nvwimg.dll 10.12.2005 03:06 1.662.976 nvwdmcpl.dll 10.12.2005 03:06 81.920 nvwddi.dll 10.12.2005 03:06 249.856 nvrspl.dll 10.12.2005 03:06 180.224 nvudisp.exe 10.12.2005 03:06 73.728 nvtuicpl.cpl 10.12.2005 03:06 131.139 nvsvc32.exe 10.12.2005 03:06 466.944 nvshell.dll 10.12.2005 03:06 245.760 nvrssv.dll 10.12.2005 03:06 118.784 nvrszht.dll 10.12.2005 03:06 217.088 nvrszhc.dll 10.12.2005 03:06 249.856 nvrstr.dll 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe 13.10.2005 00:15 15.584 spmsg.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D454-CFEB Verzeichnis von C:\DOKUME~1\S***m\LOKALE~1\Temp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D454-CFEB Verzeichnis von C:\WINDOWS 15.02.2006 17:43 496.588 ntbtlog.txt 15.02.2006 17:43 0 0.log 15.02.2006 17:43 2.048 bootstat.dat 15.02.2006 17:41 467.334 WindowsUpdate.log 15.02.2006 03:28 26 Lic.xxx 15.02.2006 03:25 232 CPERROR.LOG 15.02.2006 03:10 764 win.ini 15.02.2006 02:14 60 setupact.log 15.02.2006 02:14 0 setuperr.log 15.02.2006 01:18 2.463 setupapi.log 15.02.2006 01:14 1.246 SchedLgU.Txt 15.02.2006 00:41 49 transp.gif 14.02.2006 23:55 150 ODBC.INI 14.02.2006 23:08 281 system.ini 14.02.2006 22:58 13.380 is-SDG7D.msg 14.02.2006 22:58 309 is-SDG7D.lst 14.02.2006 22:58 666.624 is-SDG7D.exe 14.02.2006 22:09 309 is-PBLMS.lst 14.02.2006 22:09 666.624 is-PBLMS.exe 14.02.2006 22:09 13.380 is-PBLMS.msg 14.02.2006 21:16 40 iltwain.ini 14.02.2006 10:38 379.522 iis6.log 14.02.2006 10:38 63.130 ntdtcsetup.log 14.02.2006 10:38 128.040 tsoc.log 14.02.2006 10:38 13.700 tabletoc.log 14.02.2006 10:38 14.917 ocmsn.log 14.02.2006 10:25 316.640 WMSysPr9.prx 14.02.2006 10:25 4.161 ODBCINST.INI 14.02.2006 10:22 749 WindowsShell.Manifest 14.02.2006 10:21 13.211 msgsocm.log 14.02.2006 10:21 19.204 MedCtrOC.log 14.02.2006 10:21 250.485 FaxSetup.log 14.02.2006 10:21 2.065 sessmgr.setup.log 14.02.2006 10:21 45.646 netfxocm.log 14.02.2006 10:18 94.742 msmqinst.log 14.02.2006 10:17 400 cmsetacl.log 14.02.2006 10:11 50 wiaservc.log 14.02.2006 10:11 409 wiadebug.log 14.02.2006 10:10 104 pnplog.txt 14.02.2006 09:58 2.480 regopt.log 14.02.2006 07:35 69 NeroDigital.ini 09.02.2006 01:08 0 PROTOCOL.INI 08.02.2006 20:17 194 GSdx9.INI 07.02.2006 08:38 3.022 mozver.dat 28.01.2006 04:46 30.331 KB899587.log 28.01.2006 04:46 14.070 updspapi.log 28.01.2006 04:45 28.470 KB896422.log 28.01.2006 04:45 27.750 KB885835.log 28.01.2006 04:44 26.480 KB885836.log 28.01.2006 04:44 27.368 KB885250.log 28.01.2006 04:44 28.480 KB901017.log 28.01.2006 04:44 27.920 KB899591.log 28.01.2006 04:43 28.292 KB896424.log 28.01.2006 04:43 28.874 KB893756.log 28.01.2006 04:42 27.568 KB873339.log 28.01.2006 04:42 27.632 KB888113.log 28.01.2006 04:42 28.768 KB887742.log 28.01.2006 04:41 29.287 KB896358.log 28.01.2006 04:41 35.595 KB905915.log 28.01.2006 04:39 30.916 KB902400.log 28.01.2006 04:37 22.441 KB890046.log 28.01.2006 04:37 20.081 KB893066.log 28.01.2006 04:36 21.693 KB899589.log 28.01.2006 04:36 21.389 KB901214.log 28.01.2006 04:35 20.014 KB888302.log 28.01.2006 04:35 22.688 KB900725.log 28.01.2006 04:33 18.904 KB912919.log 28.01.2006 04:33 12.160 KB886185.log 28.01.2006 04:33 18.726 KB904706.log 28.01.2006 04:32 19.543 KB905749.log 28.01.2006 04:32 18.326 KB896428.log 28.01.2006 04:32 19.022 KB894391.log 28.01.2006 04:31 15.591 KB908519.log 28.01.2006 04:31 19.446 KB890859.log 28.01.2006 04:14 1.452 LUINSTALL.LOG 26.01.2006 15:33 5.373 KB887472.log 26.01.2006 03:02 14.154 KB896423.log 26.01.2006 03:02 8.657 KB910437.log 26.01.2006 03:01 12.283 KB891781.log 26.01.2006 03:00 13.838 KB905414.log 25.01.2006 07:38 35.022 Codec Pack - All In 1 Setup Log.txt 25.01.2006 07:36 737.280 iun6002.exe 25.01.2006 00:29 7.772 KB893803v2.log 25.01.2006 00:28 8.884 KB898461.log 24.01.2006 21:49 242 wmsetup10.log 24.01.2006 21:38 0 nsreg.dat 24.01.2006 21:38 107.132 UninstallFirefox.exe 24.01.2006 08:34 8.192 REGLOCS.OLD 24.01.2006 07:48 0 control.ini 24.01.2006 07:39 37 vbaddin.ini 24.01.2006 07:39 36 vb.ini 24.01.2006 04:27 0 Sti_Trace.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D454-CFEB Verzeichnis von C:\ 15.02.2006 17:53 0 sys.txt 15.02.2006 17:52 6.505 system.txt 15.02.2006 17:52 133 systemtemp.txt 15.02.2006 17:51 97.320 system32.txt 15.02.2006 17:42 805.306.368 pagefile.sys 15.02.2006 10:03 0 23990098.$$$ 15.02.2006 10:03 6 AVPCallback.log 15.02.2006 03:25 26 Download.log 14.02.2006 21:56 1.234 _arm_errors.log 14.02.2006 10:15 211 boot.ini 01.02.2006 21:41 0 IO.SYS 24.01.2006 07:48 0 CONFIG.SYS 24.01.2006 07:48 0 AUTOEXEC.BAT 24.01.2006 07:48 0 MSDOS.SYS hoffentlich kommt was raus... esel-temps sin weg, aba wenns ner lösung dient ;) GreetZ Scr00m |
Da hab ihr den TO schon richtig verstanden :D lucom selbst wär ja egal is ja norton update... Ein "unbekanntes programm" versucht mit Hilfe vom lucom aufs netz zuzugreifen @mighty Prozess? ccapp.exe GreetZ Scr00m |
Zitat:
Dann scheint Norton unter paranoider Schizophrenie zu leiden. Aber lass die Datei mal bei jotti prüfen. Entweder ist die Datei von Norton selbst :crazy: oder es ist ein Backdoor. |
Scr00m Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html C:\WINDOWS\is-SDG7D.exe C:\WINDOWS\is-PBLMS.exe -------------------------------------------------------------------- öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: C:\ _arm_errors.log C:\WINDOWS\transp.gif C:\WINDOWS\is-SDG7D.msg C:\WINDOWS\is-SDG7D.lst C:\WINDOWS\is-SDG7D.exe C:\WINDOWS\is-PBLMS.lst C:\WINDOWS\is-PBLMS.exe C:\WINDOWS\is-PBLMS.msg PC neustarten ----------------------------------------------------------------------------------------- Zitat:
|
allet erledigt... is-SDG7D.exe und is-PBLMS.exe sind(waren) laut virustotal sauber @mighty ccApp.exe : laut jotti sauber GreetZ Scr00m |
wozu gehoert das ? C:\WINDOWS\is-SDG7D.msg C:\WINDOWS\is-SDG7D.lst C:\WINDOWS\is-SDG7D.exe C:\WINDOWS\is-PBLMS.lst C:\WINDOWS\is-PBLMS.exe C:\WINDOWS\is-PBLMS.msg was hast du geladen??? 14.02.2006 22:58 |
das müsste outpost gewesen sein .... firewall GreetZ Scr00m |
das war auf einem anderen PC (siehe unten) Zitat:
Wie schon gesagt...ich weiss nicht, worum es sich handelt. lade die exe hier hoch und berichte, wenn du informiert wirst. http://sandbox.norman.no/live_4.html http://siri.urz.free.fr/upload/ |
hatte outpost schon wieder deinstalliert. gerade nochma draufgespielt, is-LFQRK.exe is jedoch nicht mit installiert worden .... kann die file also nicht uploaden GreetZ Scr00m |
die Dateien sind da...ich sehe sie im Log vom Datfindbat Verzeichnis von C:\WINDOWS 14.02.2006 22:58 13.380 is-SDG7D.msg 14.02.2006 22:58 309 is-SDG7D.lst 14.02.2006 22:58 666.624 is-SDG7D.exe 14.02.2006 22:09 309 is-PBLMS.lst 14.02.2006 22:09 666.624 is-PBLMS.exe 14.02.2006 22:09 13.380 is-PBLMS.msg Versteckte- und Systemdateien http://virus-protect.org/invisible.html |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board