Home » Spyware & Browser Hijacker Support Forum » bitte um logfile bewertunghabe probl. mit nai.exe drpmon.exe » Themenansicht

bitte um logfile bewertunghabe probl. mit nai.exe drpmon.exe
#0
19.06.2005, 09:22
muratie
...neu hier

Beiträge: 2
#1 wie ihr sieht habe problem mit nail plus drpmon und aurora bitte helfen die sache nervt mich total..ich habe versucht mit killbox aber wahrscheinlich habe nicht alle gelöscht...mit hijackthis auch aber auch nicht...bitte um hinweise...
danke

Logfile of HijackThis v1.99.1
Scan saved at 09:21:21, on 19.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
d:\windows\system32\lnzojaw.exe
D:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
D:\WINDOWS\system32\crypserv.exe
C:\mysql\data\mswmi.exe
C:\mysql\bin\mysqld-nt.exe
D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
D:\WINDOWS\system32\iexplore.exe
D:\WINDOWS\system32\rpcservice.exe
D:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\RECYCLER\NPROTECT\ownage\sqlntsrv.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Temp\tskman.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\enver\Desktop\KillBox.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Messenger\msmsgs.exe
D:\Dokumente und Einstellungen\enver\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=:0
F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [hwmqcyg] d:\windows\system32\lnzojaw.exe r
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - D:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - D:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Microsoft Cryptographie (Crypto) - Unknown owner - C:\mysql\data\mswmi.exe
O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: QoS Provider (qosprv) - Unknown owner - D:\WINDOWS\system32\iexplore.exe" -netsvcs (file missing)
O23 - Service: RpcService (Rpc) - Unknown owner - D:\WINDOWS\system32\rpcservice.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Spools (Spools) - Unknown owner - C:\RECYCLER\NPROTECT\ownage\sqlntsrv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - D:\WINDOWS\svcproc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Tenebril antispyware satellite (TNBRLDS) - Unknown owner - D:\Programme\GhostSurf 2005\DeleteSvc.exe (file missing)
O23 - Service: Task Manager (TskMan) - Unknown owner - C:\Temp\tskman.exe
Seitenanfang Seitenende
19.06.2005, 17:34
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@

rpcservice.exe Software AG EntireX RPC Service hast du das installiert ?????

Nail.exe/Software-aurora /Sahagent
http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip
1. Unzip/extract the files inside to a folder on your desktop.
2. Open the folder. Double click on FindIt's.bat and wait for Notepad to open a text file. It will take a while so please be patient ...
Poste bitte das Log vom Scann


•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

SvcProc

TskMan

Rpc

Spools

qosprv

Nail.exe

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

bitte abarbeiten:
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.06.2005, 21:48
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

D:\WINDOWS\System32\MSS.EXE
D:\WINDOWS\System32\UHARC.EXE

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

Start -- Ausfuehren -- schreib rein: cmd

kopiere rein:
sc stop SvcProc
klicke "enter"

und warte ein bisschen, dann kopiere rein:

sc delete SvcProc
klicke "enter"

kopiere rein:
del D:\WINDOWS\svcproc.exe
Klicke "enter"

loeschen

C:\Temp\tskman.exe
d:\windows\system32\lnzojaw.exe
D:\WINDOWS\system32\creditcard32123123123asdsa1.ico
D:\WINDOWS\system32\greenmovie2313asaadsasfad.ico
D:\WINDOWS\system32\mp3red51aads1.ico
D:\WINDOWS\system32\popupblocker31.ico
D:\WINDOWS\system32\red_kas21.ico
D:\WINDOWS\svcproc.exe
D:\WINDOWS\Nail.exe

PC neustarten

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

SvcProc

TskMan

Rpc

Spools

qosprv

Nail.exe

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

bitte abarbeiten:
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.06.2005, 21:55
muratie
...neu hier

Themenstarter

Beiträge: 2
#4 Microsoft Windows XP [Version 5.1.2600]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first

* UPX! D:\WINDOWS\System32\MSS.EXE
* UPX! D:\WINDOWS\System32\UHARC.EXE

»»»»» lagitamate file's can/will show in this section.

* UPX! D:\WINDOWS\System32\SHELL64.DLL
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»» Checking Windir\svcproc.exe and nail.exe.

»»»»» Checking for System32\DrPMon.dll.

»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Datentr„ger in Laufwerk D: ist windowsXP
Volumeseriennummer: 4C1C-7E52

Verzeichnis von D:\WINDOWS\SYSTEM32

13.05.2005 10:02 <DIR> cache32_rtneg3
0 Datei(en) 0 Bytes
1 Verzeichnis(se), 9'977'360'384 Bytes frei
»»»»» Checking for SAHAgent ico files.
Datentr„ger in Laufwerk D: ist windowsXP
Volumeseriennummer: 4C1C-7E52

Verzeichnis von D:\WINDOWS\system32

13.05.2005 10:02 3'262 creditcard32123123123asdsa1.ico
13.05.2005 10:02 4'286 greenmovie2313asaadsasfad.ico
13.05.2005 10:02 4'286 mp3red51aads1.ico
13.05.2005 10:02 16'614 popupblocker31.ico
13.05.2005 10:02 2'238 red_kas21.ico
5 Datei(en) 30'686 Bytes
0 Verzeichnis(se), 9'977'360'384 Bytes frei
-------------------------------------------------
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "SvcProc" 19.06.2005 21:47:39

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000]
"Service"="SvcProc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000]
"Service"="SvcProc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000]
"Service"="SvcProc"
Wie kann ich diese schlüssel löschen alle sind da im root verzeichniss..muss ich etwa zuerst die prozesse beenden oder wie..
uebrigens habe nail.exe auf einer weise geloscht(habe im internet gefunden)mit ABIremove im sicherheits modus war einfach

danke fuer alles
Seitenanfang Seitenende
19.06.2005, 21:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]



Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

Die Datei "fixme.reg" auf dem Desktop doppelklicken.


--------------------------------------------------------------------------
poste mir bitte den Link fuer:ABIremove
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.08.2005, 21:48
Heron
Member

Beiträge: 1132
#6 Der Thread ist zwar schon etwas älter, bin zufällig bei der Forensuche nochmal drübergestolpert.
Hier der Link zu ABIRemove
http://andymanchesta.com/Downloads/ABIremover.zip

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1