SVKP.sys von Norton Antivir als Hacktool.Rootkit erkannt |
|
---|---|
21.10.2005, 14:14
Member
Beiträge: 15 |
|
|
|
21.10.2005, 15:56
Moderator
Beiträge: 7805 |
#2
Die svkp Datei ist normalerweise harmlos. Sie wird von einer Datei gedroppt, die mit SVKP gepackt ist. Die Datei wird benoetigt, damit die Datei startet. Lass mal Escan das Windowsverzeichniss pruefen und schreib, was es gefunden hat.
http://cidres-security.de/escan.html __________ MfG Ralf SEO-Spam Hunter |
|
|
21.10.2005, 16:53
...neu hier
Beiträge: 9 |
#3
Ehm muss ich dieses e-scan wirklich kaufen? (was ich net kann...)
Ich hab dasselbe Problem, schon in diesem Thread gepostet: http://board.protecus.de/t19273.htm |
|
|
21.10.2005, 16:57
Moderator
Beiträge: 7805 |
#4
Nein, wenn du den Link durchgearbeitet haettest, haettest du dn Link zur Freeware gefunden.
http://www.mwti.net/products/mwav/mwav.asp Lies dir die Anleitung durch, handele danach und poste infos dazu in deinem Thread. __________ MfG Ralf SEO-Spam Hunter |
|
|
21.10.2005, 17:00
...neu hier
Beiträge: 9 |
|
|
|
21.10.2005, 17:07
Moderator
Beiträge: 7805 |
#6
MWTI hat mal wieder die Links geaendert! Nutzt dann bitte mal den Kaspersky onlinescan, mal schauen, ob sie ie Freeware noch anbieten und ich den Link dazu herausbekomme.
KAV Onlinescan= http://www.kaspersky.com/virusscanner Ah, hab den Link wieder: http://www.mspl.net/antivirus/mwav.asp __________ MfG Ralf SEO-Spam Hunter |
|
|
21.10.2005, 17:11
...neu hier
Beiträge: 9 |
#7
Es gibt auch auch dort noch dieses Tool, bei deinem Link auf "Download" und dann ganz unten, funktioniert genau wie das [url=http://cidres-security.de/escan.html]hier[/url] angegebene Tool.
Dieser Beitrag wurde am 21.10.2005 um 17:27 Uhr von Triladar editiert.
|
|
|
21.10.2005, 21:15
Member
Beiträge: 28 |
#8
Obwohl ich damit vorsichtig bin, glaube ich langsam auch, das es ein Fehlalarm ist. Denn: Ein anderer User aus einem anderen board auch mal rumgegrast, und ihm ist aufgefallen, das sich diese Hacktool Meldungen mit der SVKP.sys seit dem 19.10.05 häufen und allemsat nur Norton Antivirus betreffen.
Ich warte mal ab, wie sich das weiter entwickelt und bleibe mal auch in den Boards. Wer meinen wütenden Beitrag mal lesen will hier: http://board.protecus.de/t19759-lastpage.htm#bottom Gruss Spooky |
|
|
21.10.2005, 21:36
Member
Themenstarter Beiträge: 15 |
#9
Ich bin mit escan (MWAV) der Empfehlung gefolgt. Anbei das Ergebnis. Es sagt mir, dass das System offensichtlich nicht koscher ist. Was bedeutet aber Action Taken:No Taken? Tagged kam im Log nicht vor.
Inhalt von Virus Log Information Object "w32/rbot-ank Email-Flooder" found in File System! Action Taken: No Action Taken. Object "w32/rbot-ank Email-Flooder" found in File System! Action Taken: No Action Taken. Object "ezula toptext Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "redv Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "redv Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "redv Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "ezula toptext Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "redv Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "redv Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "redv Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "cydoor.topicks.a Spyware/Adware" found in File System! Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\PdfGrabber.exe" refers to invalid object "". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Jasc Software Inc\Paint Shop Pro 8\Cache\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Jasc Software Inc\Paint Shop Pro 8\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Jasc Software Inc\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Jasc Software Inc\Paint Shop Pro 8\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Jasc Software Inc\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\Name\Eigene Dateien\My PSP8 Files\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\Name\Eigene Dateien\My PSP8 Files\Skripts (eingeschränkt)\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Jasc Software Inc\Paint Shop Pro 8\Python-Bibliotheken\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\PowerQuest\Drive Image 7.0\Agent\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Jasc Software Inc\Paint Shop Pro 9\Cache\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\Jasc Software Inc\Paint Shop Pro 9\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Jasc Software Inc\Paint Shop Pro 9\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Jasc Software Inc\Paint Shop Pro 9\Druckvorlagen\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Jasc Software Inc\Paint Shop Pro 9\Voreinstellungen\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Microsoft Bootvis\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\S.A.D\Password Guard\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\S.A.D\". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".000". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".1". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".303". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".b08". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".c14". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ccl". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/pub/elsa/DATACOMM/MICROLNK/". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/pub/elsa/DATACOMM/MICROLNK/OFFICE/". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".hiv". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".KBX". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".lic". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".lsc". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".m3w". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".mdk". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ME". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".MSW". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ram". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".rom". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".STY". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".v2i". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".w03". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".wps". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object "OpenWithList". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Ad-aware 6 Personal". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "ieupdate". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "InstallShield_{9705A7E1-3DD1-4BAC-8CA9-FE7B1473BEC9}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB810217". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB810243". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB817778". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB820291". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB821253". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB821557". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB822603". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB823182". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB823559". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB823980". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB824105". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB824141". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB824146". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB825119". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB826942". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB828028". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB828035". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB828741". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB833998". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB835732". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB837001". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB837272". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB839643-DirectX9". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB839645". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB840315". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB840374". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB841873". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB842773". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Language Pack for Ad-aware 6". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "LiveUpdate1.6". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "oeupdate". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q322011". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q327979". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q328310". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q329048". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q329115". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q329170". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q329390". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q329441". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q329834". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q331953". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q810565". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q810577". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q810833". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q811114". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q811493". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q814033". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q814995". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q815021". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q817606". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q819696". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q828026". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "SiSoftware Sandra Professional 2004.SP1 (Win32 x86)_is1". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{0F6BE4B6-FA35-4F51-94A2-05C66104D6AB}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{1C5E6EF9-18F3-458F-904E-A081DF8E1F5F}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{290E8F21-619A-4CA9-8947-A79C7632E2DD}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{2B42A172-1C7E-11D4-AED6-00C04F022C53}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{40CEB0B7-671F-4269-BB20-9388B7BC5FBF}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{43C3D832-AC96-463A-8FE4-1B8D1BFA2FAS}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{4757E865-0292-4E04-940D-9C51052A5DD6}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{4F6BE6BA-AF27-4111-8243-FCADDA63970B}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{6532729B-AF80-484A-8310-B3DC71E69BA7}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{66D08203-FB46-4D27-A609-FFE9A77FAA1F}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{6BBCFD58-02E9-4D42-A955-A146C3C3B002}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{8D538DFC-1E7A-45F0-9C7B-D8B6629CC2DC}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{92E54F8B-6199-4033-AE7C-4A9813AE6F5D}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{9E30E9CC-F781-43E6-9676-0979121E0A3F}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{A460B835-CF65-4753-A506-227A6E12C0E3}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{A80D050D-7476-454F-ADFE-53ADAB41AEEE}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AC76BA86-0000-0000-0000-6028747ADE01}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AC76BA86-0000-7EC8-7489-000000000603}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AC76BA86-0000-7EC8-7489-000000000702}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AC76BA86-0000-7EC8-7489-000000000703}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AC76BA86-0000-7EC8-7489-000000000704}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AC76BA86-7AD7-1031-7B44-000000000001}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AC76BA86-7AD7-1031-7B44-A00000000001}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AF3CFB9C-A368-43DE-8877-A33B5D91CB71}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{CCFD0EBD-252F-42F4-95AE-01E358EFD87A}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{E4D333A6-B351-4634-B780-CC95D86FEE88}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{EE9B31BB-1958-48CB-A298-57E3BE72FF2B}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{F6B82705-53F5-4970-8723-E20AF1F0A946}". Action Taken: No Action Taken. Entry "HKCR\CLSID\{010E6CBE-FE2B-11D0-B079-006008058A0E}" refers to invalid object "C:\Programme\Common Files\Microsoft Shared\TriEdit\Triedit.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{2D360200-FFF5-11d1-8D03-00A0C959BC0A}" refers to invalid object "C:\Programme\Common Files\Microsoft Shared\TriEdit\Dhtmled.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{2D360201-FFF5-11d1-8D03-00A0C959BC0A}" refers to invalid object "C:\Programme\Common Files\Microsoft Shared\TriEdit\Dhtmled.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{438DA5E0-F171-11D0-984E-0000F80270F8}" refers to invalid object "C:\Programme\Common Files\Microsoft Shared\TriEdit\Triedit.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{47B0DFC7-B7A3-11D1-ADC5-006008A5848C}" refers to invalid object "C:\Programme\Common Files\Microsoft Shared\TriEdit\Dhtmled.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{86FC1FD1-BCF3-11D1-B76F-58BB04C10000}" refers to invalid object "F:\RUNTIME\mDxEmul.mom". Action Taken: No Action Taken. Entry "HKCR\CLSID\{86FC1FD3-BCF3-11D1-B76F-58BB04C10000}" refers to invalid object "F:\RUNTIME\mDxEmul.mom". Action Taken: No Action Taken. Entry "HKCR\CLSID\{8D91090E-B955-11D1-ADC5-006008A5848C}" refers to invalid object "C:\Programme\Common Files\Microsoft Shared\TriEdit\Dhtmled.ocx". Action Taken: No Action Taken. Entry "HKCR\CLSID\{FACF11A2-5095-11D3-A9DE-00C0268E5C48}" refers to invalid object "F:\RUNTIME\mDxEmul.mom". Action Taken: No Action Taken. Entry "HKCR\TypeLib\{438DA5D1-F171-11D0-984E-0000F80270F8}" refers to invalid object "C:\Programme\Common Files\Microsoft Shared\TriEdit\Triedit.dll". Action Taken: No Action Taken. Entry "HKCR\TypeLib\{683364A1-B37D-11D1-ADC5-006008A5848C}" refers to invalid object "C:\Programme\Common Files\Microsoft Shared\TriEdit\Dhtmled.ocx". Action Taken: No Action Taken. Entry "HKCR\.sbr\shell\open\command" refers to invalid object "SBRTS.EXE %1". Action Taken: No Action Taken. File C:\Download\Software_Tools_WIN\WindowsUnattended CD_Creator\Hauptprogramm\WUCDCreatorSetup-0.9.4.exe tagged as not-a-virus:RiskTool.Win32.PsShutdown.240. No Action Taken. File C:\Programme\Windows Unattended CD Creator\psshutdown.exe tagged as not-a-virus:RiskTool.Win32.PsShutdown.240. No Action Taken. Aus mwav.log infected Fri Oct 21 19:28:11 2005 => System found infected with w32/rbot-ank Email-Flooder ({19e28afc-eae3-4ce5-ac83-2407b42f57c9})! Action taken: No Action Taken. Fri Oct 21 19:28:11 2005 => System found infected with w32/rbot-ank Email-Flooder ({19e28afc-eae3-4ce5-ac83-2407b42f57c9})! Action taken: No Action Taken. Fri Oct 21 19:28:19 2005 => System found infected with ezula toptext Spyware/Adware (new.gif)! Action taken: No Action Taken. Fri Oct 21 19:28:22 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Oct 21 19:28:22 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken. Fri Oct 21 19:28:23 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Oct 21 19:28:23 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Oct 21 19:28:24 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken. Fri Oct 21 19:28:24 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Oct 21 19:28:24 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Oct 21 19:28:25 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken. Fri Oct 21 19:28:25 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Oct 21 19:28:26 2005 => System found infected with ezula toptext Spyware/Adware (new.gif)! Action taken: No Action Taken. Fri Oct 21 19:28:26 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Oct 21 19:28:26 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken. Fri Oct 21 19:28:26 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Oct 21 19:28:26 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Oct 21 19:28:26 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken. Fri Oct 21 19:28:26 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Oct 21 19:28:26 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Oct 21 19:28:26 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken. Fri Oct 21 19:28:26 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Oct 21 19:28:27 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken. Was kann ich weiter tun? Danke für die rasche Reaktion. |
|
|
21.10.2005, 22:08
Moderator
Beiträge: 7805 |
#10
"no action taken" bedeutet einfach, es wurde nichts unternommen. Poste bitte ein Hijackthis log.
__________ MfG Ralf SEO-Spam Hunter |
|
|
22.10.2005, 00:36
Member
Beiträge: 28 |
#11
Hallo Raman, wieso brauche ich denn das von dir oben erwähnten escan Programm was so umständlich ist, wenn ich meinen PC doch auch gleich mit Kaspersky online checken kann?
edit: Achso, Registry etc. ok. sorry Bezugnehmend auf dein Posting vom Thread http://board.protecus.de/t19759-lastpage.htm#bottom antworte ich mal hier in diesem Thread, um Doppelpostings zu vermeiden, und hab bissel was angehangen: Ja Raman, aber es ist schon komisch, das es wirklich fast nur Leute betrifft, die NAV haben, das man bei Symantec dazu zig verschiedene Würmer findet, und das bei Leuten auftritt, so auch bei mir, bei denen es eigentlich laut Systemsicherheit nicht auftreten dürfte. Komisch auch, das man mit keinem Antivirenprogramm irgendeinen Wurm, der es angeblich sein soll (Sophos, Symantec) findet. Bei Sophos ist man da noch am deutlichsten. Es wird auch überall unterschiedlich die Gefährlichkeit und mögliche Auswirkung beschrieben. Und es tritt überall seit ca. 14 Tagen so auf, vor allem aber seit 19.10.05. Dann hätten alle irgendwas die letzten 14 Tage gepackt oder aus dem Netz gesaugt, was infiziert war? Hm. Ich glaube auch nicht, das es was ist, was sich an diesem Tag aktiviert hat, sondern meiner Meinung nach liegt es an einer Virendefinition von Symantec, die sich alle die, die Live Update ausführen, am 19.10.05 eingefangen haben. Woher willst du denn so sicher wissen, das es kein Fehlalarm ist? Hast du dir mal die ganzen Foren dazu durchgoogelt? Ich bin auch vorsichtig mit Fehlalarmen, aber da dazu niemand was weiß, jeder was anderes schreibt und ich für meinen Teil mein System glaube zu kennen und wetten würde das ich nicht infiziert sein kann, glaube ich schon, das es ein Fehlalarm ist. Ich warte einfach mal ab, was weiter passiert. Jedenfalls spiele ich nicht mein ganzes System komplett neu auf, ohne zu wissen, wo der Haken liegt, um dann am Ende, wie man bei einigen schon lesen konnte, das Gleiche Problem wieder zu haben. Denn dann kann es auch keine Fehler im System mehr geben, und das Problem MUSS bei Norton Antivirus liegen. Mal abwarten. Die von Symantec machen einen sowieso verrückt, genauso wie ich es paranoid finde, ausgehende Mails zu scannen. Wer ein sauberes System hat, und Eingänge scannt oder weiß was er annimmt, muss seinen ausgehenden Verkehr nicht auch noch scannen, weil der gar nicht infiziert sein kann. Böse Zungen behaupten auch, das man absichtlich solche Alarme immer dann provoziert, wenn eine neue Software auf den Markt gekommen ist....aber das lassen wir hier lieber mal weg , ich möchte mich ja auch nicht in selbstverordneter trügerischer Sicherheit wähnen. P.S.: Ich habe eben nochmal gegoogelt. Es gibt viele, die sagen, die SVKP.sys sei eine normale Datei (also wenn sie unverseucht ist), die so oder so im System32 Ordner von Win sei, ohne diese würden viele Spiele nicht laufen. Ich habe das nun im Zusammenhang mit mehreren Spielen gelesen. Ich weiß das nun nicht, da ich diese Datei nie zuvor gesucht habe. Also gehört sie da nun doch hin? Unverseucht versteht sich. Es erzählt aber auch wirklich jeder etwas anderes. Ich kann nun mein Emule seit 3 Tagen nicht mehr nutzen, weil ich es nicht starten kann. Und kein Virenprog kann mir helfen. Das kann doch nicht sein man. =( Ich wäre froh, wenn du mir mal kurz erklären könntest, was es mit der SVKP im Detail auf sich hat Raman, woher die normalerweise kommt, wie wo und wann sie von welchem Prog genutzt wird. Thaaaaanks P.S.: Ich habe mal ein bisschen etwas aus Google zusammengetragen. Das Ergebnis ist verwirrend und erleuchtend zugleich. Wie ich schon sagte: JEDER sagt dazu etwas anderes. So wie ich das sehe, gehört die Datei SVKP.sys in den Windows System32 Ordner, da sie mehreres sein kann:Teil einer Verschlüsselungssoftware, Treiberdatei, Startdatei für verschiedenste Anwendungen. Sie kann aber auch von einer ganzen Reihe von Schädlingen manipuliert werden, und ist dann offenbar gefährlich. Die Bezeichnungen selbst ein und des selben Schädlings variieren immer wieder, so das es aussichtslos ist, diese Datei zuzuweisen. Hinter allem, was diese Schädlinge betrifft steht aber, das diese Datei ein Abkömmling eines Schädlings ist, also muss logischerweise der eigentliche Schädling gefunden werden. Wird er aber nicht bei den Warnmeldungen der letzten Tage, und die beziehen sich, wenn ich das richtig lese, alle auf Norton Antivirus! Probleme mit dieser Datei gibt es sporadisch seit 2004, seit 2 Wochen häuft sich das aber stark. Ich habe mal einige Links zusammengetragen, bei einigen Sites müsst ihr im Explorer Menü die "Suchen" Funktion nutzen oder speziell auf der Site nochmal eingeben, um die Datei im Beitrag zu finden. Viel Spass! Der ganze Mist ist äußerster BULLSHIT und einfach nur lächerlich mit all den selbsternannten "Wissern" was diese Datei angeht. !!! VIEL SPASS !!! Hier ist die SVKP.sys nötig für Spiele: http://www.pcgames.de/?article_id=408241 http://www.yiya.de/bb/viewtopic.php?p=95133& http://www.worldofgothic.de/gothic2/ http://forum.worldofplayers.de/forum/showthread.php?p=1125863post1125863 Bei Symantec steht wieder etwas völlig anderes unter einen von ZIG Würmern die dort mit dieser Datei aufgelistet werden: (Beispiel für Schädling Backdoor.Sdbot): http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-backdoor.sdbot.html Erstellt möglicherweise die folgenden zusätzlichen Dateien: %System%\SVKP.sys (Dies ist ein sauberer Treiber, der für schädliche Zwecke eingesetzt werden kann.) %System%\msdirectx.sys (Diese Datei ist für die Rootkit-Funktionen zuständig und kann als Hacktool.Rootkit entdeckt werden.) Hier die Treffer wenn man die Datei in der Symantec-Suche eingibt: http://search.symantec.com/custom/us/query.html Im emuleforum steht wieder das hier: [Windowsverzeichnis]\System32\svkp.sys (SVK-Protector Decrypter) http://www.emuleforum.net/showpost.php?p=351072&postcount=2 Woanders wird sie wieder als Treiber aufgelistet: http://www.treiber.de/forum/post.asp?method=ReplyQuote&REPLY_ID=141481&TOPIC_ID=37721&FORUM_ID=11 Hier steht wieder etwas ganz anderes, die dort angegebene Dateigröße entspricht aber exakt meiner mit 2,3 KB: http://www.file.net/prozess/svkp.sys.html Hier ist wieder von einem Wurm die Rede, wiedermal mit anderem Namen, selbst Sophos listet die Datei also unter verschiedenen Trojaner/Würmern auf: Einmal hier: http://www.wer-weiss-was.de/theme211/article2437479.html Einmal hier: http://www.sophos.com/virusinfo/analyses/w32maibota.html Hier wieder ein anderes Problem: http://www.expertenseite.de/index.page/question.action/open_question.oid/1852258.html;jsessionid=awrTSe76-1n_ Ach herrlich! Nicht genug? Aber bitte, ich habe doch noch mehr: Hier wiedermal ein anderer böser Wurm der für diese Datei herhalten muss: http://powerforen.de/forum/showthread.php?s=6b5e45ed230b0b2781cf0812dcd63bc2&t=177107 und wieder ein anderer: http://www.weisheit-des-tages-net.de/up-to-date/patch-news-Archiv-156.htm Hier bekommt man glatteweg beides präsentiert: http://www.wintotal.de/Spyware/index.php hier wieder mit einem anderen Wurm: http://de.virusspy.nl/virus/mugly-b.php HABE ICH NUN EINEN VIRUS AUF MEINEM PC ODER NICHT ????? LAAAAAAAAAAACH. Dieser Beitrag wurde am 22.10.2005 um 05:02 Uhr von Spooky_Boy editiert.
|
|
|
22.10.2005, 05:50
Moderator
Beiträge: 7805 |
#12
Ob du nun einen Virus hast, oder nicht, kann ich dir nicht sagen, ich kann dir nur sagen, das du auf deinem Rechner wahrscheinlich eine Datei hast, die mit SVKP gepakt ist, es gibt einiges an Malware, die diesen Packer nutzt, aber auch einige legal nutzen diesen. Er maht es halt schwer, eine Datei zu entpaken, das ist fue beide Seiten ja auch sehr nuetzlich. Diese SVKP.SYS an sich ist harmlos, nur muss man shauen, ob es ie Datei, die diese Sys braucht auch ist.
In diesem von dir geposteten Link ist es meiner Meinung nach gut beshrieben: http://www.file.net/prozess/svkp.sys.html __________ MfG Ralf SEO-Spam Hunter |
|
|
22.10.2005, 08:10
Member
Beiträge: 28 |
#13
Weisst du, was aber komisch ist? In diesem Link http://www.pcgames.de/?article_id=408241 wird etwas weiter unten bei "Meinungen zu diesem Artikel" ein Link zu dieser Seite http://forum.worldofplayers.de/forum/showthread.php?p=1125863post1125863 gesetzt, in der ein Fix für die SVKP.sys angeboten wird, der genau diese falsche Fehlermeldung für diese dortige eigentlich virenfreie Datei von Antivirus nicht mehr auslösen soll, weil diese Ähnlichkeit die in der Struktur zu Würmern bestand, nun nicht mehr vorhanden sein soll. Wenn ich aber genau diese Datei anklicke, haut mir Antivirus wieder die Viruswarnmeldung rein! Und diese Datei DORT ist NICHT MEINE angeblich virusverseuchte Datei auf meinem Rechner. Also komisch ist das schon.
Also entweder ist der Programmierer dort unfähig, man verschaukelt dort die Leute und hat eine Virusbehaftete Datei, oder Norton Antivirus, und das glaube ich am ehesten weil es - nimmt man einmal alles zusammen- am logischsten ist, meldet Falsch-Positiv einen Virus! Eine für diese Spiele große Firma bietet doch keine virusbehaftete Datei zum download an, weder zu Beginn wie im ersten Link, noch in der gefixten Version des 2. Links. Dieser Beitrag wurde am 22.10.2005 um 08:31 Uhr von Spooky_Boy editiert.
|
|
|
22.10.2005, 09:43
Moderator
Beiträge: 7805 |
#14
Norton wird sich wohl irgendwas dabei gedacht haben, frag am besten mal den Support, packe die Datei in ein Passwortgeschuetztes Zip und haenge es an. Du kannst die Datei nochmal hier testen:
http://virusscan.jotti.org/ Ich denke, das zumindest quickheal was melden wird, vieleicht auch noch fortinet. __________ MfG Ralf SEO-Spam Hunter |
|
|
22.10.2005, 16:49
...neu hier
Beiträge: 9 |
#15
Was ich mit Bestimmtehit sagen kann ist, dass es eben 2 meiner Spiele blockiert und ich diese nicht starten kann, ein Error kommt (nicht von NAV) und danach eine NAV-Meldung, dass sich eben diese SVKP.sys mit Hacktool.Rootkit infiziert hat, das alles ist auch das erste mal am 19.10 aufgetreten...
PS: plz helft mir im anderen Thread, ich hab gereits HJT und dat-logs gepostet... :S sonst post ich sie hier nochma.... |
|
|
Wer hat zur SVKP.sys Erkenntnisse in Richtung Hacjtool.Rootkit? Wozu gehört diese Datei? Sie befand sich im win\system32-verzeichnis.
Danke fürs lesen und helfen!