Navupdate64? Prozess öffnet sich beim hochfahren

#0
03.07.2005, 19:18
...neu hier

Beiträge: 2
#1 hallo, hatte lowzone a auf dem Rechner, Antivir hat ihn gekillt, trotzdem startet beim hochfahren prozess navupdate64.exe. nach beendigung des prozesses bleibt er dann auch weg, erst beim erneuten hochfahren ist er wieder da.

hackjack this log:
Logfile of HijackThis v1.99.1
Scan saved at 19:13:46, on 03.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Olivetti\Aio\Shared\Bin\AplEvm12.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Olivetti\Aio\Shared\Bin\aplsts12.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\OEMipm12.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Sony\Station\LaunchPad\LaunchPad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\My Shared Folder\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
O1 - Hosts: 213.159.235.174 www.halifax-online.co.uk
O1 - Hosts: 213.159.235.174 ibank.barclays.co.uk
O1 - Hosts: 213.159.235.174 online.lloydstsb.co.uk
O1 - Hosts: 213.159.235.174 online-business.lloydstsb.co.uk
O1 - Hosts: 213.159.235.174 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 213.159.235.174 www.nwolb.com
O1 - Hosts: 213.159.235.174 banesnet.banesto.es
O1 - Hosts: 213.159.235.174 extranet.banesto.es
O1 - Hosts: 213.159.235.174 ebanking.bccbrescia.it
O1 - Hosts: 213.159.235.174 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 213.159.235.174 www.rbsdigital.com
O1 - Hosts: 213.159.235.174 oi.cajamadrid.es
O1 - Hosts: 213.159.235.174 bancae.caixapenedes.com
O1 - Hosts: 213.159.235.174 banking.postbank.de
O1 - Hosts: 213.159.235.174 meine.deutsche-bank.de
O1 - Hosts: 213.159.235.174 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 213.159.235.174 ibank.cahoot.com
O1 - Hosts: 213.159.235.174 webbank.openplan.co.uk
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Window_Protect] winsi32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [OLIVETTIEVM] C:\Programme\Olivetti\Aio\Shared\Bin\AplEvm12.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
O4 - HKLM\..\RunServices: [Window_Protect] winsi32.exe
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MS UniX] navupdate64.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119471914927
O16 - DPF: {82F2D6B2-6C58-4404-A930-9DB0FD90D4B1} (Driver_Detective_v43_Non_Member.DD_v43) - http://www.drivershq.com/cab/prod/Driver_Detective_v43_Non_Member.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1650F05-559D-4694-99E1-03B1ABD19854}: NameServer = 195.50.140.250 145.253.2.203
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver OEM12 - HP - C:\WINDOWS\System32\OEMipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

danke schon im voraus.
Seitenanfang Seitenende
03.07.2005, 19:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\System32\OEMipm12.exe

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
O1 - Hosts: 213.159.235.174 www.halifax-online.co.uk
O1 - Hosts: 213.159.235.174 ibank.barclays.co.uk
O1 - Hosts: 213.159.235.174 online.lloydstsb.co.uk
O1 - Hosts: 213.159.235.174 online-business.lloydstsb.co.uk
O1 - Hosts: 213.159.235.174 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 213.159.235.174 www.nwolb.com
O1 - Hosts: 213.159.235.174 banesnet.banesto.es
O1 - Hosts: 213.159.235.174 extranet.banesto.es
O1 - Hosts: 213.159.235.174 ebanking.bccbrescia.it
O1 - Hosts: 213.159.235.174 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 213.159.235.174 www.rbsdigital.com
O1 - Hosts: 213.159.235.174 oi.cajamadrid.es
O1 - Hosts: 213.159.235.174 bancae.caixapenedes.com
O1 - Hosts: 213.159.235.174 banking.postbank.de
O1 - Hosts: 213.159.235.174 meine.deutsche-bank.de
O1 - Hosts: 213.159.235.174 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 213.159.235.174 ibank.cahoot.com
O1 - Hosts: 213.159.235.174 webbank.openplan.co.uk

O4 - HKLM\..\Run: [Window_Protect] winsi32.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
O4 - HKLM\..\RunServices: [Window_Protect] winsi32.exe
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [MS UniX] navupdate64.exe

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {82F2D6B2-6C58-4404-A930-9DB0FD90D4B1} (Driver_Detective_v43_Non_Member.DD_v43) - http://www.drivershq.com/cab/prod/Driver_Detective_v43_Non_Member.CAB
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326

PC neustarten

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt


Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 30 Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit



silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.07.2005, 20:24
...neu hier

Themenstarter

Beiträge: 2
#3 hallo,
danke erstmal für die schnelle antwort.
bin bis rkfiles gekommen, kann aber im abgesicherten modus keine internetverbindung aufbauen, RAS fehler 711.

mfg Ottmar
Seitenanfang Seitenende
03.07.2005, 22:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 du brauchst keine Internetverbindung im abgesicherten Modus, es reicht der abgesicherte Modus (ohne Internetverbindung)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »