O23 - Service: Network Security Service (NSS) - Unknown -

#0
25.12.2004, 14:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1 Hallo zusammen!
> Hatte genau dasselbe Problem wie die meisten hier. Kriegte die Standardseite
> nicht geändert, habe mir jedoch die Beiträge durchgelesen und es selbst
> versucht.
> Ich glaube ich habe alle Hijacker mit eScan entfernen können, bin mir aber
> nicht 100 % sicher. Darum bitte ich euch mal einen Blick auf meinen
> Hijackthis Log zu werfen. Für eure Bemühungen danke ich schon mal im
> Voraus.
> Ach so....diese Seite ist wirklich sehr sehr sehr hilfreich, werde sie auf
> jeden Fall weiter empfehlen!
> Hier mein Hijackthis Log:
> Logfile of HijackThis v1.99.0
> Scan saved at 17:43:24, on 24.12.2004
> Platform: Windows XP SP1 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
>
> Running processes:
> C:\WINDOWS\System32\smss.exe
> C:\WINDOWS\system32\winlogon.exe
> C:\WINDOWS\system32\services.exe
> C:\WINDOWS\system32\lsass.exe
> C:\WINDOWS\system32\svchost.exe
> C:\WINDOWS\System32\svchost.exe
> C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
> C:\WINDOWS\Explorer.EXE
> C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
> D:\WARNSYSTEME I\ISSVC.exe
> C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
> C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
> C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
> C:\WINDOWS\SOUNDMAN.EXE
> C:\Programme\Ahead\InCD\InCD.exe
> C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
> C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
> C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
> C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
> C:\WINDOWS\System32\ctfmon.exe
> C:\Programme\Messenger\msmsgs.exe
> C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
> C:\WINDOWS\system32\spoolsv.exe
> C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
> D:\WARNSYSTEME I\Norton AntiVirus\navapsvc.exe
> C:\WINDOWS\System32\nvsvc32.exe
> C:\WINDOWS\System32\svchost.exe
> C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
> C:\Programme\Mozilla Firefox\firefox.exe
> D:\WARNSYSTEME II\HIJACKTHIS.exe
>
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
> http://www.google.de/
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
> about:blank
> R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
> F1 - win.ini: run= C:\WESTWOOD\ALARM\INSTICON.EXE
> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
> C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
> O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} -
> C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
> O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -
> D:\WARNSYSTEME I\Norton AntiVirus\NavShExt.dll
> O3 - Toolbar: Norton Internet Security -
> {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame
> Dateien\Symantec Shared\AdBlocking\NISShExt.dll
> O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
> D:\WARNSYSTEME I\Norton AntiVirus\NavShExt.dll
> O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
> C:\WINDOWS\System32\NvCpl.dll,NvStartup
> O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
> O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
> O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
> O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
> O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame
> Dateien\Microsoft Shared\Works Shared\WkUFind.exe
> O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
> O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
> O4 - HKLM\..\Run: [d3wf32.exe] C:\WINDOWS\system32\d3wf32.exe
> O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec
> Shared\Security Center\UsrPrmpt.exe
> O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec
> Shared\ccApp.exe"
> O4 - HKLM\..\Run: [Symantec NetDriver Monitor]
> C:\PROGRA~1\SYMNET~1\SNDMon.exe
> O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
> O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
> O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
> Office\Office10\OSA.EXE
> O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead
> Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
> O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
> res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
> O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
> O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
> http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103474942406
> O17 -
> HKLM\System\CCS\Services\Tcpip\..\{C789E40C-8E0A-4C77-BA83-71398BD40A39}:
> NameServer = 62.72.64.237 62.72.64.241
> O23 - Service: Symantec Event Manager - Symantec Corporation -
> C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
> O23 - Service: Symantec Network Proxy - Symantec Corporation -
> C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
> O23 - Service: Symantec Password Validation - Symantec Corporation -
> C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
> O23 - Service: Symantec Settings Manager - Symantec Corporation -
> C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
> O23 - Service: ISSvc - Symantec Corporation - D:\WARNSYSTEME I\ISSVC.exe
> O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation -
> D:\WARNSYSTEME I\Norton AntiVirus\navapsvc.exe
> O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation -
> C:\WINDOWS\System32\nvsvc32.exe
> O23 - Service: SAVScan - Symantec Corporation - D:\WARNSYSTEME I\Norton
> AntiVirus\SAVScan.exe
> O23 - Service: ScriptBlocking Service - Symantec Corporation -
> C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
> O23 - Service: Symantec Network Drivers Service - Symantec Corporation -
> C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
> O23 - Service: Symantec SPBBCSvc - Symantec Corporation -
> C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
> O23 - Service: Symantec Core LC - Symantec Corporation -
> C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
> O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe (file missing)
> O23 - Service: Network Security Service (NSS) - Unknown -
> C:\WINDOWS\system32\atlhz32.exe (file missing)

__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.12.2004 um 14:28 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.12.2004, 14:23
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#2 Hallo@

Dienste anzeigen:
#Scrolle bis zu Mitte dieser Seite und lade:
get_active_services_179.zip --> entpacken -->
http://computercops.biz/postp237756.html
gehe in den abgesicherten Modus (du must als Administrator angemeldet sein)
http://www.tu-berlin.de/www/software/virus/savemode.shtml
öffnen --> Active.txt-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.12.2004, 21:30
...neu hier

Beiträge: 1
#3 Hallo Sabina
Die Datei die ich herunterladen sollte beinhaltet einen Fehler.
Verstehe nicht sehr viel von Computern, könntest du mir eventuell eine andere Lösung vorschlagen?
Die Arbeitsschritte die du mir genannt hast, wofür dienen diese?

MfG
Virenproblem
Seitenanfang Seitenende
28.12.2004, 15:13
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#4 Hallo@virenproblem

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.


So wird der Dienst deaktiviert:
Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt

"ZESOFT "
"Network Security Service (NSS)"

aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
" die se Dienste" beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken.Die Dienste läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
------------------------------------------------------------------------------
#Antivirus (free)-->lade und mache den Installationsscann (falls dein System sehr langsam wird, deaktiviere den Symantec) -->noch nicht scanne, erst im abgesicherten Modus

http://www.free-av.de/
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als "fixme.reg" auf dem Desktop speichern.

Code:
REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_O?*001E*2019*017DRT*00F1*00E5*00C8*00B2$*000E*00D3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\O?’ŽrtñåȲ$Ó]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„õØ´â]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]

_____________________________________________________________________________________

Start<Ausfuehren < schreib rein: cmd
DOS oeffnet sich
kopiere rein:

del C:\WINDOWS\system32\atlhz32.exe
klicke "enter"

kopiere rein:
sc stop ZESOFT
klicke "enter"

und warte ein bisschen,
dann kopiere rein:
sc delete ZESOFT
klicke "enter"

kopiere rein:
del C:\WINDOWS\zeta.exe
Klicke "enter"

--------------------------------------------------------------------------------
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

F1 - win.ini: run= C:\WESTWOOD\ALARM\INSTICON.EXE-->???? (weiss du , was das ist ? )
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe (file missing)
O23 - Service: Network Security Service (NSS) - Unknown -
C:\WINDOWS\system32\atlhz32.exe (file missing)

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

http://www.tu-berlin.de/www/software/virus/savemode.shtml

Die Datei "fixme.reg" auf dem Desktop doppelklicken.

mache einen Komplettscann mit dem Antivirus (poste mir das Logfile)

zusammen mit dem neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.12.2004 um 15:39 Uhr von Sabina editiert.
Seitenanfang Seitenende