Hacktool Rootkit

#0
27.09.2005, 11:12
...neu hier

Beiträge: 2
#1 Hallo Sabina,

mein Computerwissen beschränkt sich leider auf das Schreiben von E-Mails und dem Surfen im Netz und dort habe ich mir oben genannten Trojaner eingefangen. Seit ca einer Woche bekomme ich die Meldung von Norton, dass ein Virus auf meinem Laufwerk C in WINDOWS/SYSTEM32 gefunden wurde und das Norton diesen weder löschen noch isolieren konnte. Auch ein Update von Norton und ein erneutes Scannen, wie von Sympathec empfohlen, bringt rein garnichts;-(. Wie bekomme ich diesen Trojaner wieder weg?

Bitte erklärt mir die einzelnen Schritte für einen Laien, da ich das fachchinesisch leider garnicht verstehe.

Vielen lieben Dank im Voraus

Grüsse Runa
Seitenanfang Seitenende
27.09.2005, 13:52
Member
Avatar Gool

Beiträge: 4730
#2 Probiere mal, mit F-Secure das Ding zu entfernen:
http://www.europe.f-secure.com/blacklight/

doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

Unter der Adresse kannst Du eine Beta-Version downloaden. Vor dem Scan bitte noch Norton AutoProtect deaktivieren.

Sollte das nicht helfen, mache uns bitte ein HijackThis-Log:
http://managor.de/hjt.htm
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
27.09.2005, 14:03
...neu hier

Themenstarter

Beiträge: 2
#3 Okay, danke Dir werde ich heute Abend mal probieren und Dir dann nochmal Bescheid geben.

Gruss

Rúna
Seitenanfang Seitenende
27.09.2005, 16:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 und zusaetzlich noch: alle 4 Logs hier posten ;)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.10.2005, 13:34
...neu hier

Beiträge: 7
#5 Hallo, hab das selbe Problem wie Runa. Die Datei die Norton anprangert ist:
C:\WINDOWS\system32\SVKP.sys
im abgesicherten Modus ist es mir auch gelungen diese zu löschen, ist aber anscheinend irgendwie mit dem Programm emcrypt verbunden. Jedesmal wenn dieses neu gestartet wird ist die Datei wieder da. Auch ein löschen und neu installieren des Programms brachte keinen Erfolg.
Ich habe es auch schon mit dem Programm blbeta welches oben verlinkt war versucht, das hat allerdings nichts gefunden.

Mit HijackThis-Log wurde dieses Logfile erstellt:
Logfile of HijackThis v1.99.1
Scan saved at 13:30:41, on 23.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTHELPER.EXE
D:\Programme\D-Tools\daemon.exe
D:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE
D:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\ShutDownKoenig\sdkpro.exe
D:\Programme\WinTV\Ir.exe
D:\Programme\Media Key\MagicKey.exe
D:\Programme\Media Key\OSD.EXE
D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
D:\Programme\TV Movie\TV Movie ClickFinder\tvdbaccess.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Programme\WinTV\WinTV2K.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Symantec\LiveUpdate\AUpdate.exe
C:\Dokumente und Einstellungen\Er\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://wpad.unibw-hamburg.de/autoproxy.pad
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = backspace.unibw-hamburg.de:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TVTip] D:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE /m
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\RunServices: [Autologon] D:\Programme\ShutDownKoenig\sdkpro.exe /logon
O4 - HKCU\..\Run: [SDK] D:\Programme\ShutDownKoenig\sdkpro.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = D:\Programme\WinTV\Ir.exe
O4 - Global Startup: Media Key.lnk = D:\Programme\Media Key\MagicKey.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126590050624
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - D:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Ich hoffe es hat schon jemand Erfolg gehabt beim entfernen dieses Störenfrieds, hab nämlich leider kein Backup.

Schonmal im vorhinein danke für eure Mühen
Peter
Seitenanfang Seitenende
23.10.2005, 13:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@Peter_K

arbeite das ab (poste die 4 Logs, mit der pfadangabe oberhalb...3 Monate vom Datum her reichen)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.10.2005, 13:46
...neu hier

Beiträge: 7
#7 Hallo Sabine

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 7C69-6AF9

Verzeichnis von C:\WINDOWS\system32

23.10.2005 12:52 30.276 BMXBkpCtrlState-{00000000-00000000-0000000C-00001102-00000002-80651102}.rfx
23.10.2005 12:52 30.276 BMXCtrlState-{00000000-00000000-0000000C-00001102-00000002-80651102}.rfx
23.10.2005 12:52 17.596 BMXStateBkp-{00000000-00000000-0000000C-00001102-00000002-80651102}.rfx
23.10.2005 12:52 17.596 BMXState-{00000000-00000000-0000000C-00001102-00000002-80651102}.rfx
23.10.2005 12:52 1.080 settingsbkup.sfm
23.10.2005 12:52 1.080 settings.sfm
23.10.2005 12:52 24 DVCStateBkp-{00000000-00000000-0000000C-00001102-00000002-80651102}.dat
23.10.2005 12:52 24 DVCState-{00000000-00000000-0000000C-00001102-00000002-80651102}.dat
23.10.2005 11:40 2.206 wpa.dbl
23.10.2005 11:31 106.496 TwnLib20.dll
23.10.2005 11:31 35.328 picn20.dll
23.10.2005 11:31 275.312 ImagXpr5.dll
23.10.2005 11:31 532.480 imagx5.dll
23.10.2005 11:31 507.904 imagr5.dll
20.10.2005 13:04 43.520 CmdLineExt03.dll
05.10.2005 04:09 2.301.792 MRT.exe
04.10.2005 17:26 3.013.120 mshtml.dll
23.09.2005 05:06 8.491.520 shell32.dll
14.09.2005 18:10 383.254 perfh009.dat
14.09.2005 18:10 53.608 perfc009.dat
14.09.2005 18:10 394.500 perfh007.dat
14.09.2005 18:10 64.598 perfc007.dat
14.09.2005 18:10 906.552 PerfStringBackup.INI
14.09.2005 18:09 113.376 FNTCACHE.DAT
14.09.2005 07:47 90 spupdwxp.log
13.09.2005 07:59 16.832 amcompat.tlb
13.09.2005 07:59 23.392 nscompat.tlb
13.09.2005 00:22 0 h323log.txt
12.09.2005 23:58 552 d3d8caps.dat
12.09.2005 23:35 25.065 wmpscheme.xml
12.09.2005 23:31 261 $winnt$.inf
12.09.2005 23:29 2.951 CONFIG.NT
12.09.2005 23:28 488 logonui.exe.manifest
12.09.2005 23:28 488 WindowsLogon.manifest
12.09.2005 23:28 749 sapi.cpl.manifest
12.09.2005 23:28 749 cdplayer.exe.manifest
12.09.2005 23:28 749 ncpa.cpl.manifest
12.09.2005 23:28 749 nwc.cpl.manifest
12.09.2005 23:28 749 wuaucpl.cpl.manifest
12.09.2005 23:26 21.740 emptyregdb.dat
10.09.2005 03:54 2.067.968 cdosys.dll
03.09.2005 01:53 664.064 wininet.dll
03.09.2005 01:53 146.432 msrating.dll
03.09.2005 01:53 39.424 pngfilt.dll
03.09.2005 01:53 55.808 extmgr.dll
03.09.2005 01:53 1.484.288 shdocvw.dll
03.09.2005 01:53 96.768 inseng.dll
03.09.2005 01:53 605.696 urlmon.dll
03.09.2005 01:53 205.312 dxtrans.dll
03.09.2005 01:53 448.512 mshtmled.dll
03.09.2005 01:53 474.112 shlwapi.dll
03.09.2005 01:53 530.432 mstime.dll
03.09.2005 01:53 251.392 iepeers.dll
03.09.2005 01:53 152.064 cdfview.dll
03.09.2005 01:53 1.055.744 danim.dll
03.09.2005 01:53 1.019.904 browseui.dll
01.09.2005 03:44 292.352 winsrv.dll
01.09.2005 03:44 19.968 linkinfo.dll
30.08.2005 05:55 1.292.800 quartz.dll
23.08.2005 05:39 124.416 umpnpmgr.dll
22.08.2005 20:31 197.632 netman.dll
11.08.2005 17:11 65.024 nwwks.dll
05.08.2005 21:05 516.096 ati2sgag.exe
04.08.2005 08:07 307.200 atiiiexx.dll
04.08.2005 07:27 249.856 ATIDEMGR.dll
04.08.2005 06:46 6.684.672 atioglx1.dll
04.08.2005 05:28 5.005.312 atioglxx.dll
04.08.2005 05:10 205.312 ati2dvag.dll
04.08.2005 05:04 106.496 atipdlxx.dll
04.08.2005 05:04 73.728 Oemdspif.dll
04.08.2005 05:04 25.088 Ati2mdxx.exe
04.08.2005 05:04 39.936 ati2edxx.dll
04.08.2005 05:04 46.080 ati2evxx.dll
04.08.2005 05:02 380.928 ati2evxx.exe
04.08.2005 05:02 53.248 ATIDDC.DLL
04.08.2005 04:54 2.365.472 ati3duag.dll
04.08.2005 04:47 639.872 ativvaxx.dll
04.08.2005 04:34 147.456 atikvmag.dll
04.08.2005 04:08 17.408 atitvo32.dll
04.08.2005 04:02 212.992 ati2cqag.dll
28.07.2005 14:52 91.856 S32EVNT1.DLL
26.07.2005 06:39 11.776 xolehlp.dll
26.07.2005 06:39 397.824 rpcss.dll
26.07.2005 06:39 74.752 olecli32.dll
26.07.2005 06:39 37.888 olecnv32.dll
26.07.2005 06:39 101.376 txflog.dll
26.07.2005 06:39 1.285.120 ole32.dll
26.07.2005 06:39 66.560 mtxclu.dll
26.07.2005 06:39 91.136 mtxoci.dll
26.07.2005 06:39 161.280 msdtcuiu.dll
26.07.2005 06:39 945.152 msdtctm.dll
26.07.2005 06:39 425.472 msdtcprx.dll
26.07.2005 06:39 540.160 comuid.dll
26.07.2005 06:39 243.200 es.dll
26.07.2005 06:39 1.267.200 comsvcs.dll
26.07.2005 06:39 97.792 comrepl.dll
26.07.2005 06:39 60.416 colbact.dll
26.07.2005 06:39 498.688 clbcatq.dll
26.07.2005 06:39 625.152 catsrvut.dll
26.07.2005 06:39 225.792 catsrv.dll
26.07.2005 06:39 110.080 clbcatex.dll
12.07.2005 18:04 520.456 LegitCheckControl.dll

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 7C69-6AF9

Verzeichnis von C:\DOKUME~1\Er\LOKALE~1\Temp

23.10.2005 13:41 512 ~DFBF10.tmp
23.10.2005 13:01 16.384 ~DFFED.tmp
23.10.2005 12:46 16.384 ~DFDD5C.tmp
23.10.2005 12:09 16.384 ~DF299A.tmp
23.10.2005 12:02 16.384 ~DFD275.tmp
23.10.2005 11:47 16.384 ~DF1FBF.tmp
23.10.2005 11:45 16.384 ~DFCDA1.tmp
23.10.2005 11:40 16.384 ~DF394F.tmp
21.10.2005 22:37 32.768 ~DF4D63.tmp
20.10.2005 22:19 32.768 ~DF902.tmp
20.10.2005 13:04 24.748 SIntfNT.dll
20.10.2005 13:04 12.305 SIntf16.dll
20.10.2005 13:04 20.020 SIntf32.dll
19.10.2005 16:30 0 JET10A6.tmp
18.10.2005 18:56 32.768 ~DF60C9.tmp
16.10.2005 20:05 32.768 ~DF1AF1.tmp
16.10.2005 20:01 32.768 ~DFF180.tmp
14.10.2005 16:58 16.384 ~DF50F6.tmp
14.10.2005 16:58 16.384 ~DF50A8.tmp
14.10.2005 16:58 16.384 ~DF50C2.tmp
14.10.2005 16:58 16.384 ~DF50DC.tmp
14.10.2005 15:01 16.384 ~DFF195.tmp
14.10.2005 15:01 16.384 ~DFF17B.tmp
14.10.2005 15:01 16.384 ~DFF161.tmp
14.10.2005 15:01 16.384 ~DFF147.tmp
13.10.2005 22:32 32.768 ~DFDE28.tmp
13.10.2005 16:12 16.384 ~DF7609.tmp
13.10.2005 16:12 16.384 ~DF686F.tmp
12.10.2005 20:45 4.592 SIntfIcn.ani
12.10.2005 20:45 43.520 CmdLineExt03.dll
12.10.2005 20:41 798.234 IMT3FD.xml
12.10.2005 20:41 426 IMT3FC.xml
12.10.2005 20:41 2.036 IMT3FB.xml
12.10.2005 18:16 32.768 ~DF93CA.tmp
12.10.2005 17:05 32.768 ~DFB532.tmp
11.10.2005 21:53 98.304 ~DF169.tmp
11.10.2005 19:49 32.768 ~DF1D2D.tmp

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 7C69-6AF9

Verzeichnis von C:\WINDOWS

23.10.2005 13:02 1.025.369 setupapi.log
23.10.2005 13:01 0 0.log
23.10.2005 13:01 1.012.003 WindowsUpdate.log
23.10.2005 13:00 3.374.149 {00000000-00000000-0000000C-00001102-00000002-80651102}.BAK
23.10.2005 13:00 3.374.149 {00000000-00000000-0000000C-00001102-00000002-80651102}.CDF
23.10.2005 13:00 2.048 bootstat.dat
23.10.2005 12:58 610.568 ntbtlog.txt
23.10.2005 12:52 32.636 SchedLgU.Txt
23.10.2005 11:31 765.952 UNNERO.exe
23.10.2005 11:31 50.070 UNNERO.cfg
20.10.2005 08:44 192 winamp.ini
16.10.2005 20:01 125.361 comsetup.log
16.10.2005 20:01 451.826 iis6.log
16.10.2005 20:01 75.479 ntdtcsetup.log
16.10.2005 20:01 1.393 imsins.log
16.10.2005 20:01 164.862 tsoc.log
16.10.2005 20:01 12.257 tabletoc.log
16.10.2005 20:01 17.784 ocmsn.log
16.10.2005 20:01 22.656 KB901017.log
16.10.2005 20:01 42.545 netfxocm.log
16.10.2005 20:01 172.339 ocgen.log
16.10.2005 20:01 18.438 medctroc.Log
16.10.2005 20:01 17.736 msgsocm.log
16.10.2005 20:01 344.068 FaxSetup.log
16.10.2005 20:01 117.014 msmqinst.log
16.10.2005 20:01 1.393 imsins.BAK
16.10.2005 20:01 25.036 KB902400.log
16.10.2005 20:01 16.167 updspapi.log
16.10.2005 20:01 15.555 KB896688.log
16.10.2005 20:01 14.474 KB899589.log
16.10.2005 20:01 14.725 KB905414.log
16.10.2005 20:01 14.475 KB900725.log
16.10.2005 20:00 12.156 KB904706.log
16.10.2005 20:00 11.980 KB905749.log
12.10.2005 20:38 14.780 DirectX.log
11.10.2005 08:10 41.025 wmsetup.log
10.10.2005 22:57 159 wiadebug.log
10.10.2005 22:57 50 wiaservc.log
10.10.2005 22:48 0 nsreg.dat
10.10.2005 22:47 110.717 UninstallFirefox.exe
10.10.2005 22:47 5.409 mozver.dat
04.10.2005 22:18 632 CoD.INI
27.09.2005 16:39 324 d3xp.ini
26.09.2005 13:12 21.519 LUINSTALL.LOG
26.09.2005 13:06 4.390 SYMEVENT.LOG
26.09.2005 10:46 278 system.ini
26.09.2005 10:43 18.192 Doom.dat
26.09.2005 10:43 184.400 Doom.scr
26.09.2005 10:43 2.023.652 Doom.exe
26.09.2005 10:43 40.960 Doom.dll
19.09.2005 17:09 317 doom3.ini
14.09.2005 17:09 22.938 KB899587.log
14.09.2005 17:09 22.061 KB896422.log
14.09.2005 17:08 21.808 KB885835.log
14.09.2005 17:08 20.811 KB885836.log
14.09.2005 17:08 21.629 KB885250.log
14.09.2005 17:08 22.073 KB899591.log
14.09.2005 17:08 21.879 KB893756.log
14.09.2005 17:08 20.471 KB896423.log
14.09.2005 17:08 20.387 KB873339.log
14.09.2005 17:08 22.789 KB896727.log
14.09.2005 17:08 17.361 KB888113.log
14.09.2005 17:08 17.904 KB887742.log
14.09.2005 17:08 17.306 KB887472.log
14.09.2005 17:08 18.372 KB896358.log
14.09.2005 17:07 17.341 KB891781.log
14.09.2005 17:07 18.323 KB890046.log
14.09.2005 17:07 17.709 KB893066.log
14.09.2005 17:07 17.334 KB873333.log
14.09.2005 17:07 19.282 KB901214.log
14.09.2005 17:07 16.937 KB888302.log
14.09.2005 17:07 12.320 KB886185.log
14.09.2005 17:07 17.797 KB899588.log
14.09.2005 17:07 16.919 KB893086.log
14.09.2005 17:07 16.072 KB896428.log
14.09.2005 17:07 16.691 KB894391.log
14.09.2005 17:06 16.643 KB890859.log
14.09.2005 16:55 599 win.ini
14.09.2005 15:38 400 ODBC.INI
14.09.2005 15:30 7.185 KB898461.log
14.09.2005 15:30 6.115 KB893803v2.log
14.09.2005 07:48 29.229 spupdsvc.log
14.09.2005 07:48 360 DtcInstall.log
14.09.2005 07:48 316.640 WMSysPr9.prx
14.09.2005 07:48 1.165 OEWABLog.txt
14.09.2005 07:47 740.775 setuplog.txt
14.09.2005 07:45 454.545 svcpack.log
14.09.2005 07:42 200 cmsetacl.log
14.09.2005 07:41 1.330 sessmgr.setup.log
13.09.2005 17:22 1.442 COM+.log
13.09.2005 08:00 237 wmsetup10.log
13.09.2005 07:58 28.145 xpsp1hfm.log
13.09.2005 07:58 34.442 KB835732.log
13.09.2005 07:58 33.517 Q810833.log
13.09.2005 07:57 22.971 KB834707-IE6-20040929.115007.log
13.09.2005 07:55 22.038 KB828741.log
13.09.2005 07:55 12.289 Q329834.log
13.09.2005 07:55 21.637 KB823559.log
13.09.2005 07:54 21.211 Q817606.log
13.09.2005 07:54 20.752 Q329441.log
13.09.2005 07:53 17.973 Q810577.log
13.09.2005 07:52 15.090 Q811630.log
13.09.2005 07:52 11.418 Q329170.log
13.09.2005 07:51 1.625 Q329115.log
13.09.2005 07:51 1.264 Q329390.log
13.09.2005 07:51 960 Q323255.log
13.09.2005 07:50 651 Q329048.log
13.09.2005 07:42 6.238 KB842773.log
13.09.2005 07:42 179.862 setupact.log
13.09.2005 00:20 2.492 regopt.log
13.09.2005 00:20 0 Sti_Trace.log
13.09.2005 00:11 1.550 ATIWDM.LOG
12.09.2005 23:47 0 SBWIN.INI
12.09.2005 23:40 3.644 Ascd_tmp.ini
12.09.2005 23:32 8.192 REGLOCS.OLD
12.09.2005 23:30 622 setuperr.log
12.09.2005 23:29 0 control.ini
12.09.2005 23:29 299.552 WMSysPrx.prx
12.09.2005 23:28 4.161 ODBCINST.INI
12.09.2005 23:28 240 Windows Update.log
12.09.2005 23:28 749 WindowsShell.Manifest
12.09.2005 23:25 36 vb.ini
12.09.2005 23:25 37 vbaddin.ini
08.08.2005 01:25 532.992 opuc.dll

So, abgearbeitet



Ich hab da vielleicht noch n Nachtrag. Norton findet nur etwas wenn emcrypt gestartet wird, und zwar die oben erwähnte Datei: C:\WINDOWS\system32\SVKP.sys
Wenn ich diese im abgesicherten Modus lösche und neu starte finde Norton nichts mehr. Mein Kumpel hatte das selbe Problem, Norton hat sich immer bei emcrypt beschwert, und das Programm selbst ist nicht mehr startbar. Desweiteren habe ich soeben bemerkt das meine CD/DVD Laufwerke nicht mehr da sind. Beim neu erkennen gibt Windows die Meldung aus, das in den Registry Einträgen ein Fehler vorhanden ist.
Dieser Beitrag wurde am 23.10.2005 um 15:11 Uhr von Peter_K editiert.
Seitenanfang Seitenende
23.10.2005, 17:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 das letzte von den 4 logs fehlt (C:\ )

Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Doppelklick:regsrch.vbs
reinkopieren:

SVKP

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (von Symantec) --- ignorieren

------------------------
suche
scrnsaver.scr
SystemDll.exe
(findest du es? )
http://www.sophos.de/virusinfo/analyses/w32rbotagp.html
http://www.sophos.de/virusinfo/analyses/w32rbotajr.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.10.2005, 19:18
...neu hier

Beiträge: 7
#9 Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 7C69-6AF9

Verzeichnis von C:\

23.10.2005 19:10 0 sys.txt
23.10.2005 19:10 9.124 system.txt
23.10.2005 19:10 2.145 systemtemp.txt
23.10.2005 19:09 99.462 system32.txt
23.10.2005 13:00 1.610.612.736 pagefile.sys
14.09.2005 07:42 211 boot.ini
14.09.2005 07:37 47.564 NTDETECT.COM
14.09.2005 07:37 251.184 ntldr
13.09.2005 20:20 34 hcwclear.txt
12.09.2005 23:29 0 IO.SYS
12.09.2005 23:29 0 CONFIG.SYS
12.09.2005 23:29 0 AUTOEXEC.BAT
12.09.2005 23:29 0 MSDOS.SYS

Ergebnis von der Registrierungssuche:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "SVKP" 23.10.2005 19:12:16

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000]
"Service"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000]
"DeviceDesc"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP]
"DisplayName"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum]
"0"="Root\\LEGACY_SVKP\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000]
"Service"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000]
"DeviceDesc"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP]
"DisplayName"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000]
"Service"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000]
"DeviceDesc"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP]
"DisplayName"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Enum]
"0"="Root\\LEGACY_SVKP\\0000"


Die scrnsaver.scr und SystemDll.exe findet er nicht.

ich bin aber beim stöbern hier im Forum auf dieses Thema gestoßen:
http://board.protecus.de/t19781.htm
kann es sein das Norton auch hier bei emcrypt die benötigte Datei fälschlicherweise als Wurm ansieht?
Habe übrigens fleißig weiter gesucht, und das Problem mit meinen Laufwerken wurde durch eine Brennsoftware verursacht. Nach einer Korrektur in der Registry funktionieren die jetzt wieder.
Dieser Beitrag wurde am 23.10.2005 um 19:46 Uhr von Peter_K editiert.
Seitenanfang Seitenende
23.10.2005, 19:52
...neu hier

Beiträge: 2
#10 Hi,
habe mit Interesse Euere Artikel gelesen, da ich das gleiche Problem habe bzw. hatte.
Sofort, als die erste Virenmeldung auftauchte, habe ich ein Image meiner Partition C: (das Image hatte ich vor etwa 2 Wochen mit "Drive Image" erstellt) aufgespielt. Eigentlich hätte damals der Virus ja noch nicht drauf sein dürfen, denn die erste Virenmeldung brachte mir Norton Antivirus erst vor zwei Tagen. Nach dem Neustart - wieder die gleiche Virenmeldung. Wieder war die Datei SVKP.sys im Verzeichnis c:\WINDOWS\system32 mit dem Virus Hacktool.Rootkit verseucht.
Habe nun heute diese Datei über NAV-Response an Symantec geschickt und prüfen lassen. Bereits 5 Minuten später bekam ich folgende e-Mail:


Wir haben ihre Sendung analysiert. Nachfolgend finden Sie einen Bericht
über jede Datei, die Sie an uns übermittelt haben:

filename: c:\WINDOWS\system32\SVKP.sys
machine: HELMUT
result: This file is clean

Developer notes:

c:\WINDOWS\system32\SVKP.sys is a clean file.


Wir haben festgestellt, daß die gelieferten Dateien nicht von Viren
befallen sind.
--------------------------------------------------------------------------
Diese Nachricht wurde von Symantec Security Response automatisch erstellt.

Wenden Sie sich bitte bei Fragen zu Ihrer Einsendung an unsere regionale Technische Unterstützung auf der Symantec-Website (http://www.symantec.de/desupport), und geben Sie die im Betreff dieser Nachricht angezeigte Nummer an.


Ich gehe nun davon aus, dass die Virenmeldung von NAV eine Falschmeldung ist.

MfG
Helmut
Seitenanfang Seitenende
23.10.2005, 20:41
...neu hier

Beiträge: 7
#11 Hallo Helmut
Das ist ja ganz toll von Symantec. Das Problem ist aber das die Programme, welche diese Datei zum starten brauchen nicht mehr funktionieren, da NAV diese immer als Virus ansieht!
Wie bringe ich NAV also bei das es keine Bedrohung ist??

MfG Peter
Seitenanfang Seitenende
23.10.2005, 21:07
...neu hier

Beiträge: 2
#12 Hallo Peter,

ich habe es zwar noch nicht ausprobiert, da bei mir die Programme, die ich brauche, bisher klaglos gelaufen sind. Aber vielleicht bringt es etwas, wenn NAV-Auto-Prodekt deaktiviert wird.

MfG
Helmut
Seitenanfang Seitenende
23.10.2005, 22:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 und nun ????
der Eintrag
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP\Security]
... gibt zu denken.

--------------------------------------------

C:\WINDOWS\system32\SVKP.sys

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten (poste alles)
http://virusscan.jotti.org/de/
http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.10.2005, 18:10
...neu hier

Beiträge: 7
#14 Hallo Sabina!

Der Eintrag ist aber mehrmals quasi vorhanden:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Security]
Machen dich da alle mistrauisch, oder nur der eine?

Ich wollt grade die SVKP.sys nochmal checken lassen, online von Symantec und den Links die du mir gepostet hast, und musste dann aber feststellen das sie nicht mehr zu finden ist ... Weder über Suche, noch per Hand. Beim Versuch emcrypt wieder zu starten kommt allerdings die altbewährte Viruswarnung von NAV, und auch der dort angegebene Pfad ist noch gleich. Nur die Datei ist weg...
Seitenanfang Seitenende
24.10.2005, 18:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 scanne bitte noch mal......

Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Doppelklick:regsrch.vbs
reinkopieren:

SVKP

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende