Hacktool Rootkit |
||
---|---|---|
#0
| ||
27.09.2005, 11:12
...neu hier
Beiträge: 2 |
||
|
||
27.09.2005, 13:52
Member
Beiträge: 4730 |
#2
Probiere mal, mit F-Secure das Ding zu entfernen:
http://www.europe.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread Unter der Adresse kannst Du eine Beta-Version downloaden. Vor dem Scan bitte noch Norton AutoProtect deaktivieren. Sollte das nicht helfen, mache uns bitte ein HijackThis-Log: http://managor.de/hjt.htm __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
27.09.2005, 14:03
...neu hier
Themenstarter Beiträge: 2 |
#3
Okay, danke Dir werde ich heute Abend mal probieren und Dir dann nochmal Bescheid geben.
Gruss Rúna |
|
|
||
27.09.2005, 16:45
Ehrenmitglied
Beiträge: 29434 |
#4
und zusaetzlich noch: alle 4 Logs hier posten
http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.10.2005, 13:34
...neu hier
Beiträge: 7 |
#5
Hallo, hab das selbe Problem wie Runa. Die Datei die Norton anprangert ist:
C:\WINDOWS\system32\SVKP.sys im abgesicherten Modus ist es mir auch gelungen diese zu löschen, ist aber anscheinend irgendwie mit dem Programm emcrypt verbunden. Jedesmal wenn dieses neu gestartet wird ist die Datei wieder da. Auch ein löschen und neu installieren des Programms brachte keinen Erfolg. Ich habe es auch schon mit dem Programm blbeta welches oben verlinkt war versucht, das hat allerdings nichts gefunden. Mit HijackThis-Log wurde dieses Logfile erstellt: Logfile of HijackThis v1.99.1 Scan saved at 13:30:41, on 23.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe D:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\CTHELPER.EXE D:\Programme\D-Tools\daemon.exe D:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE D:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\Programme\ShutDownKoenig\sdkpro.exe D:\Programme\WinTV\Ir.exe D:\Programme\Media Key\MagicKey.exe D:\Programme\Media Key\OSD.EXE D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe D:\Programme\TV Movie\TV Movie ClickFinder\tvdbaccess.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe D:\Programme\WinTV\WinTV2K.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Symantec\LiveUpdate\AUpdate.exe C:\Dokumente und Einstellungen\Er\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://wpad.unibw-hamburg.de/autoproxy.pad R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = backspace.unibw-hamburg.de:3128 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [TVTip] D:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE /m O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\RunServices: [Autologon] D:\Programme\ShutDownKoenig\sdkpro.exe /logon O4 - HKCU\..\Run: [SDK] D:\Programme\ShutDownKoenig\sdkpro.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AutoStart IR.lnk = D:\Programme\WinTV\Ir.exe O4 - Global Startup: Media Key.lnk = D:\Programme\Media Key\MagicKey.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126590050624 O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - D:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe Ich hoffe es hat schon jemand Erfolg gehabt beim entfernen dieses Störenfrieds, hab nämlich leider kein Backup. Schonmal im vorhinein danke für eure Mühen Peter |
|
|
||
23.10.2005, 13:39
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@Peter_K
arbeite das ab (poste die 4 Logs, mit der pfadangabe oberhalb...3 Monate vom Datum her reichen) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.10.2005, 13:46
...neu hier
Beiträge: 7 |
#7
Hallo Sabine
Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 7C69-6AF9 Verzeichnis von C:\WINDOWS\system32 23.10.2005 12:52 30.276 BMXBkpCtrlState-{00000000-00000000-0000000C-00001102-00000002-80651102}.rfx 23.10.2005 12:52 30.276 BMXCtrlState-{00000000-00000000-0000000C-00001102-00000002-80651102}.rfx 23.10.2005 12:52 17.596 BMXStateBkp-{00000000-00000000-0000000C-00001102-00000002-80651102}.rfx 23.10.2005 12:52 17.596 BMXState-{00000000-00000000-0000000C-00001102-00000002-80651102}.rfx 23.10.2005 12:52 1.080 settingsbkup.sfm 23.10.2005 12:52 1.080 settings.sfm 23.10.2005 12:52 24 DVCStateBkp-{00000000-00000000-0000000C-00001102-00000002-80651102}.dat 23.10.2005 12:52 24 DVCState-{00000000-00000000-0000000C-00001102-00000002-80651102}.dat 23.10.2005 11:40 2.206 wpa.dbl 23.10.2005 11:31 106.496 TwnLib20.dll 23.10.2005 11:31 35.328 picn20.dll 23.10.2005 11:31 275.312 ImagXpr5.dll 23.10.2005 11:31 532.480 imagx5.dll 23.10.2005 11:31 507.904 imagr5.dll 20.10.2005 13:04 43.520 CmdLineExt03.dll 05.10.2005 04:09 2.301.792 MRT.exe 04.10.2005 17:26 3.013.120 mshtml.dll 23.09.2005 05:06 8.491.520 shell32.dll 14.09.2005 18:10 383.254 perfh009.dat 14.09.2005 18:10 53.608 perfc009.dat 14.09.2005 18:10 394.500 perfh007.dat 14.09.2005 18:10 64.598 perfc007.dat 14.09.2005 18:10 906.552 PerfStringBackup.INI 14.09.2005 18:09 113.376 FNTCACHE.DAT 14.09.2005 07:47 90 spupdwxp.log 13.09.2005 07:59 16.832 amcompat.tlb 13.09.2005 07:59 23.392 nscompat.tlb 13.09.2005 00:22 0 h323log.txt 12.09.2005 23:58 552 d3d8caps.dat 12.09.2005 23:35 25.065 wmpscheme.xml 12.09.2005 23:31 261 $winnt$.inf 12.09.2005 23:29 2.951 CONFIG.NT 12.09.2005 23:28 488 logonui.exe.manifest 12.09.2005 23:28 488 WindowsLogon.manifest 12.09.2005 23:28 749 sapi.cpl.manifest 12.09.2005 23:28 749 cdplayer.exe.manifest 12.09.2005 23:28 749 ncpa.cpl.manifest 12.09.2005 23:28 749 nwc.cpl.manifest 12.09.2005 23:28 749 wuaucpl.cpl.manifest 12.09.2005 23:26 21.740 emptyregdb.dat 10.09.2005 03:54 2.067.968 cdosys.dll 03.09.2005 01:53 664.064 wininet.dll 03.09.2005 01:53 146.432 msrating.dll 03.09.2005 01:53 39.424 pngfilt.dll 03.09.2005 01:53 55.808 extmgr.dll 03.09.2005 01:53 1.484.288 shdocvw.dll 03.09.2005 01:53 96.768 inseng.dll 03.09.2005 01:53 605.696 urlmon.dll 03.09.2005 01:53 205.312 dxtrans.dll 03.09.2005 01:53 448.512 mshtmled.dll 03.09.2005 01:53 474.112 shlwapi.dll 03.09.2005 01:53 530.432 mstime.dll 03.09.2005 01:53 251.392 iepeers.dll 03.09.2005 01:53 152.064 cdfview.dll 03.09.2005 01:53 1.055.744 danim.dll 03.09.2005 01:53 1.019.904 browseui.dll 01.09.2005 03:44 292.352 winsrv.dll 01.09.2005 03:44 19.968 linkinfo.dll 30.08.2005 05:55 1.292.800 quartz.dll 23.08.2005 05:39 124.416 umpnpmgr.dll 22.08.2005 20:31 197.632 netman.dll 11.08.2005 17:11 65.024 nwwks.dll 05.08.2005 21:05 516.096 ati2sgag.exe 04.08.2005 08:07 307.200 atiiiexx.dll 04.08.2005 07:27 249.856 ATIDEMGR.dll 04.08.2005 06:46 6.684.672 atioglx1.dll 04.08.2005 05:28 5.005.312 atioglxx.dll 04.08.2005 05:10 205.312 ati2dvag.dll 04.08.2005 05:04 106.496 atipdlxx.dll 04.08.2005 05:04 73.728 Oemdspif.dll 04.08.2005 05:04 25.088 Ati2mdxx.exe 04.08.2005 05:04 39.936 ati2edxx.dll 04.08.2005 05:04 46.080 ati2evxx.dll 04.08.2005 05:02 380.928 ati2evxx.exe 04.08.2005 05:02 53.248 ATIDDC.DLL 04.08.2005 04:54 2.365.472 ati3duag.dll 04.08.2005 04:47 639.872 ativvaxx.dll 04.08.2005 04:34 147.456 atikvmag.dll 04.08.2005 04:08 17.408 atitvo32.dll 04.08.2005 04:02 212.992 ati2cqag.dll 28.07.2005 14:52 91.856 S32EVNT1.DLL 26.07.2005 06:39 11.776 xolehlp.dll 26.07.2005 06:39 397.824 rpcss.dll 26.07.2005 06:39 74.752 olecli32.dll 26.07.2005 06:39 37.888 olecnv32.dll 26.07.2005 06:39 101.376 txflog.dll 26.07.2005 06:39 1.285.120 ole32.dll 26.07.2005 06:39 66.560 mtxclu.dll 26.07.2005 06:39 91.136 mtxoci.dll 26.07.2005 06:39 161.280 msdtcuiu.dll 26.07.2005 06:39 945.152 msdtctm.dll 26.07.2005 06:39 425.472 msdtcprx.dll 26.07.2005 06:39 540.160 comuid.dll 26.07.2005 06:39 243.200 es.dll 26.07.2005 06:39 1.267.200 comsvcs.dll 26.07.2005 06:39 97.792 comrepl.dll 26.07.2005 06:39 60.416 colbact.dll 26.07.2005 06:39 498.688 clbcatq.dll 26.07.2005 06:39 625.152 catsrvut.dll 26.07.2005 06:39 225.792 catsrv.dll 26.07.2005 06:39 110.080 clbcatex.dll 12.07.2005 18:04 520.456 LegitCheckControl.dll Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 7C69-6AF9 Verzeichnis von C:\DOKUME~1\Er\LOKALE~1\Temp 23.10.2005 13:41 512 ~DFBF10.tmp 23.10.2005 13:01 16.384 ~DFFED.tmp 23.10.2005 12:46 16.384 ~DFDD5C.tmp 23.10.2005 12:09 16.384 ~DF299A.tmp 23.10.2005 12:02 16.384 ~DFD275.tmp 23.10.2005 11:47 16.384 ~DF1FBF.tmp 23.10.2005 11:45 16.384 ~DFCDA1.tmp 23.10.2005 11:40 16.384 ~DF394F.tmp 21.10.2005 22:37 32.768 ~DF4D63.tmp 20.10.2005 22:19 32.768 ~DF902.tmp 20.10.2005 13:04 24.748 SIntfNT.dll 20.10.2005 13:04 12.305 SIntf16.dll 20.10.2005 13:04 20.020 SIntf32.dll 19.10.2005 16:30 0 JET10A6.tmp 18.10.2005 18:56 32.768 ~DF60C9.tmp 16.10.2005 20:05 32.768 ~DF1AF1.tmp 16.10.2005 20:01 32.768 ~DFF180.tmp 14.10.2005 16:58 16.384 ~DF50F6.tmp 14.10.2005 16:58 16.384 ~DF50A8.tmp 14.10.2005 16:58 16.384 ~DF50C2.tmp 14.10.2005 16:58 16.384 ~DF50DC.tmp 14.10.2005 15:01 16.384 ~DFF195.tmp 14.10.2005 15:01 16.384 ~DFF17B.tmp 14.10.2005 15:01 16.384 ~DFF161.tmp 14.10.2005 15:01 16.384 ~DFF147.tmp 13.10.2005 22:32 32.768 ~DFDE28.tmp 13.10.2005 16:12 16.384 ~DF7609.tmp 13.10.2005 16:12 16.384 ~DF686F.tmp 12.10.2005 20:45 4.592 SIntfIcn.ani 12.10.2005 20:45 43.520 CmdLineExt03.dll 12.10.2005 20:41 798.234 IMT3FD.xml 12.10.2005 20:41 426 IMT3FC.xml 12.10.2005 20:41 2.036 IMT3FB.xml 12.10.2005 18:16 32.768 ~DF93CA.tmp 12.10.2005 17:05 32.768 ~DFB532.tmp 11.10.2005 21:53 98.304 ~DF169.tmp 11.10.2005 19:49 32.768 ~DF1D2D.tmp Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 7C69-6AF9 Verzeichnis von C:\WINDOWS 23.10.2005 13:02 1.025.369 setupapi.log 23.10.2005 13:01 0 0.log 23.10.2005 13:01 1.012.003 WindowsUpdate.log 23.10.2005 13:00 3.374.149 {00000000-00000000-0000000C-00001102-00000002-80651102}.BAK 23.10.2005 13:00 3.374.149 {00000000-00000000-0000000C-00001102-00000002-80651102}.CDF 23.10.2005 13:00 2.048 bootstat.dat 23.10.2005 12:58 610.568 ntbtlog.txt 23.10.2005 12:52 32.636 SchedLgU.Txt 23.10.2005 11:31 765.952 UNNERO.exe 23.10.2005 11:31 50.070 UNNERO.cfg 20.10.2005 08:44 192 winamp.ini 16.10.2005 20:01 125.361 comsetup.log 16.10.2005 20:01 451.826 iis6.log 16.10.2005 20:01 75.479 ntdtcsetup.log 16.10.2005 20:01 1.393 imsins.log 16.10.2005 20:01 164.862 tsoc.log 16.10.2005 20:01 12.257 tabletoc.log 16.10.2005 20:01 17.784 ocmsn.log 16.10.2005 20:01 22.656 KB901017.log 16.10.2005 20:01 42.545 netfxocm.log 16.10.2005 20:01 172.339 ocgen.log 16.10.2005 20:01 18.438 medctroc.Log 16.10.2005 20:01 17.736 msgsocm.log 16.10.2005 20:01 344.068 FaxSetup.log 16.10.2005 20:01 117.014 msmqinst.log 16.10.2005 20:01 1.393 imsins.BAK 16.10.2005 20:01 25.036 KB902400.log 16.10.2005 20:01 16.167 updspapi.log 16.10.2005 20:01 15.555 KB896688.log 16.10.2005 20:01 14.474 KB899589.log 16.10.2005 20:01 14.725 KB905414.log 16.10.2005 20:01 14.475 KB900725.log 16.10.2005 20:00 12.156 KB904706.log 16.10.2005 20:00 11.980 KB905749.log 12.10.2005 20:38 14.780 DirectX.log 11.10.2005 08:10 41.025 wmsetup.log 10.10.2005 22:57 159 wiadebug.log 10.10.2005 22:57 50 wiaservc.log 10.10.2005 22:48 0 nsreg.dat 10.10.2005 22:47 110.717 UninstallFirefox.exe 10.10.2005 22:47 5.409 mozver.dat 04.10.2005 22:18 632 CoD.INI 27.09.2005 16:39 324 d3xp.ini 26.09.2005 13:12 21.519 LUINSTALL.LOG 26.09.2005 13:06 4.390 SYMEVENT.LOG 26.09.2005 10:46 278 system.ini 26.09.2005 10:43 18.192 Doom.dat 26.09.2005 10:43 184.400 Doom.scr 26.09.2005 10:43 2.023.652 Doom.exe 26.09.2005 10:43 40.960 Doom.dll 19.09.2005 17:09 317 doom3.ini 14.09.2005 17:09 22.938 KB899587.log 14.09.2005 17:09 22.061 KB896422.log 14.09.2005 17:08 21.808 KB885835.log 14.09.2005 17:08 20.811 KB885836.log 14.09.2005 17:08 21.629 KB885250.log 14.09.2005 17:08 22.073 KB899591.log 14.09.2005 17:08 21.879 KB893756.log 14.09.2005 17:08 20.471 KB896423.log 14.09.2005 17:08 20.387 KB873339.log 14.09.2005 17:08 22.789 KB896727.log 14.09.2005 17:08 17.361 KB888113.log 14.09.2005 17:08 17.904 KB887742.log 14.09.2005 17:08 17.306 KB887472.log 14.09.2005 17:08 18.372 KB896358.log 14.09.2005 17:07 17.341 KB891781.log 14.09.2005 17:07 18.323 KB890046.log 14.09.2005 17:07 17.709 KB893066.log 14.09.2005 17:07 17.334 KB873333.log 14.09.2005 17:07 19.282 KB901214.log 14.09.2005 17:07 16.937 KB888302.log 14.09.2005 17:07 12.320 KB886185.log 14.09.2005 17:07 17.797 KB899588.log 14.09.2005 17:07 16.919 KB893086.log 14.09.2005 17:07 16.072 KB896428.log 14.09.2005 17:07 16.691 KB894391.log 14.09.2005 17:06 16.643 KB890859.log 14.09.2005 16:55 599 win.ini 14.09.2005 15:38 400 ODBC.INI 14.09.2005 15:30 7.185 KB898461.log 14.09.2005 15:30 6.115 KB893803v2.log 14.09.2005 07:48 29.229 spupdsvc.log 14.09.2005 07:48 360 DtcInstall.log 14.09.2005 07:48 316.640 WMSysPr9.prx 14.09.2005 07:48 1.165 OEWABLog.txt 14.09.2005 07:47 740.775 setuplog.txt 14.09.2005 07:45 454.545 svcpack.log 14.09.2005 07:42 200 cmsetacl.log 14.09.2005 07:41 1.330 sessmgr.setup.log 13.09.2005 17:22 1.442 COM+.log 13.09.2005 08:00 237 wmsetup10.log 13.09.2005 07:58 28.145 xpsp1hfm.log 13.09.2005 07:58 34.442 KB835732.log 13.09.2005 07:58 33.517 Q810833.log 13.09.2005 07:57 22.971 KB834707-IE6-20040929.115007.log 13.09.2005 07:55 22.038 KB828741.log 13.09.2005 07:55 12.289 Q329834.log 13.09.2005 07:55 21.637 KB823559.log 13.09.2005 07:54 21.211 Q817606.log 13.09.2005 07:54 20.752 Q329441.log 13.09.2005 07:53 17.973 Q810577.log 13.09.2005 07:52 15.090 Q811630.log 13.09.2005 07:52 11.418 Q329170.log 13.09.2005 07:51 1.625 Q329115.log 13.09.2005 07:51 1.264 Q329390.log 13.09.2005 07:51 960 Q323255.log 13.09.2005 07:50 651 Q329048.log 13.09.2005 07:42 6.238 KB842773.log 13.09.2005 07:42 179.862 setupact.log 13.09.2005 00:20 2.492 regopt.log 13.09.2005 00:20 0 Sti_Trace.log 13.09.2005 00:11 1.550 ATIWDM.LOG 12.09.2005 23:47 0 SBWIN.INI 12.09.2005 23:40 3.644 Ascd_tmp.ini 12.09.2005 23:32 8.192 REGLOCS.OLD 12.09.2005 23:30 622 setuperr.log 12.09.2005 23:29 0 control.ini 12.09.2005 23:29 299.552 WMSysPrx.prx 12.09.2005 23:28 4.161 ODBCINST.INI 12.09.2005 23:28 240 Windows Update.log 12.09.2005 23:28 749 WindowsShell.Manifest 12.09.2005 23:25 36 vb.ini 12.09.2005 23:25 37 vbaddin.ini 08.08.2005 01:25 532.992 opuc.dll So, abgearbeitet Ich hab da vielleicht noch n Nachtrag. Norton findet nur etwas wenn emcrypt gestartet wird, und zwar die oben erwähnte Datei: C:\WINDOWS\system32\SVKP.sys Wenn ich diese im abgesicherten Modus lösche und neu starte finde Norton nichts mehr. Mein Kumpel hatte das selbe Problem, Norton hat sich immer bei emcrypt beschwert, und das Programm selbst ist nicht mehr startbar. Desweiteren habe ich soeben bemerkt das meine CD/DVD Laufwerke nicht mehr da sind. Beim neu erkennen gibt Windows die Meldung aus, das in den Registry Einträgen ein Fehler vorhanden ist. Dieser Beitrag wurde am 23.10.2005 um 15:11 Uhr von Peter_K editiert.
|
|
|
||
23.10.2005, 17:47
Ehrenmitglied
Beiträge: 29434 |
#8
das letzte von den 4 logs fehlt (C:\ )
Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: SVKP Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Meldung (von Symantec) --- ignorieren ------------------------ suche scrnsaver.scr SystemDll.exe (findest du es? ) http://www.sophos.de/virusinfo/analyses/w32rbotagp.html http://www.sophos.de/virusinfo/analyses/w32rbotajr.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.10.2005, 19:18
...neu hier
Beiträge: 7 |
#9
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 7C69-6AF9 Verzeichnis von C:\ 23.10.2005 19:10 0 sys.txt 23.10.2005 19:10 9.124 system.txt 23.10.2005 19:10 2.145 systemtemp.txt 23.10.2005 19:09 99.462 system32.txt 23.10.2005 13:00 1.610.612.736 pagefile.sys 14.09.2005 07:42 211 boot.ini 14.09.2005 07:37 47.564 NTDETECT.COM 14.09.2005 07:37 251.184 ntldr 13.09.2005 20:20 34 hcwclear.txt 12.09.2005 23:29 0 IO.SYS 12.09.2005 23:29 0 CONFIG.SYS 12.09.2005 23:29 0 AUTOEXEC.BAT 12.09.2005 23:29 0 MSDOS.SYS Ergebnis von der Registrierungssuche: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "SVKP" 23.10.2005 19:12:16 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000] "Service"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000] "DeviceDesc"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP] "DisplayName"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum] "0"="Root\\LEGACY_SVKP\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000] "Service"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000] "DeviceDesc"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP] "DisplayName"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000] "Service"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000] "DeviceDesc"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP] "DisplayName"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Enum] "0"="Root\\LEGACY_SVKP\\0000" Die scrnsaver.scr und SystemDll.exe findet er nicht. ich bin aber beim stöbern hier im Forum auf dieses Thema gestoßen: http://board.protecus.de/t19781.htm kann es sein das Norton auch hier bei emcrypt die benötigte Datei fälschlicherweise als Wurm ansieht? Habe übrigens fleißig weiter gesucht, und das Problem mit meinen Laufwerken wurde durch eine Brennsoftware verursacht. Nach einer Korrektur in der Registry funktionieren die jetzt wieder. Dieser Beitrag wurde am 23.10.2005 um 19:46 Uhr von Peter_K editiert.
|
|
|
||
23.10.2005, 19:52
...neu hier
Beiträge: 2 |
#10
Hi,
habe mit Interesse Euere Artikel gelesen, da ich das gleiche Problem habe bzw. hatte. Sofort, als die erste Virenmeldung auftauchte, habe ich ein Image meiner Partition C: (das Image hatte ich vor etwa 2 Wochen mit "Drive Image" erstellt) aufgespielt. Eigentlich hätte damals der Virus ja noch nicht drauf sein dürfen, denn die erste Virenmeldung brachte mir Norton Antivirus erst vor zwei Tagen. Nach dem Neustart - wieder die gleiche Virenmeldung. Wieder war die Datei SVKP.sys im Verzeichnis c:\WINDOWS\system32 mit dem Virus Hacktool.Rootkit verseucht. Habe nun heute diese Datei über NAV-Response an Symantec geschickt und prüfen lassen. Bereits 5 Minuten später bekam ich folgende e-Mail: Wir haben ihre Sendung analysiert. Nachfolgend finden Sie einen Bericht über jede Datei, die Sie an uns übermittelt haben: filename: c:\WINDOWS\system32\SVKP.sys machine: HELMUT result: This file is clean Developer notes: c:\WINDOWS\system32\SVKP.sys is a clean file. Wir haben festgestellt, daß die gelieferten Dateien nicht von Viren befallen sind. -------------------------------------------------------------------------- Diese Nachricht wurde von Symantec Security Response automatisch erstellt. Wenden Sie sich bitte bei Fragen zu Ihrer Einsendung an unsere regionale Technische Unterstützung auf der Symantec-Website (http://www.symantec.de/desupport), und geben Sie die im Betreff dieser Nachricht angezeigte Nummer an. Ich gehe nun davon aus, dass die Virenmeldung von NAV eine Falschmeldung ist. MfG Helmut |
|
|
||
23.10.2005, 20:41
...neu hier
Beiträge: 7 |
#11
Hallo Helmut
Das ist ja ganz toll von Symantec. Das Problem ist aber das die Programme, welche diese Datei zum starten brauchen nicht mehr funktionieren, da NAV diese immer als Virus ansieht! Wie bringe ich NAV also bei das es keine Bedrohung ist?? MfG Peter |
|
|
||
23.10.2005, 21:07
...neu hier
Beiträge: 2 |
#12
Hallo Peter,
ich habe es zwar noch nicht ausprobiert, da bei mir die Programme, die ich brauche, bisher klaglos gelaufen sind. Aber vielleicht bringt es etwas, wenn NAV-Auto-Prodekt deaktiviert wird. MfG Helmut |
|
|
||
23.10.2005, 22:12
Ehrenmitglied
Beiträge: 29434 |
#13
und nun ????
der Eintrag [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP\Security] ... gibt zu denken. -------------------------------------------- C:\WINDOWS\system32\SVKP.sys Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten (poste alles) http://virusscan.jotti.org/de/ http://www.virustotal.com/flash/index_en.html http://sandbox.norman.no/live_4.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.10.2005, 18:10
...neu hier
Beiträge: 7 |
#14
Hallo Sabina!
Der Eintrag ist aber mehrmals quasi vorhanden: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Security] Machen dich da alle mistrauisch, oder nur der eine? Ich wollt grade die SVKP.sys nochmal checken lassen, online von Symantec und den Links die du mir gepostet hast, und musste dann aber feststellen das sie nicht mehr zu finden ist ... Weder über Suche, noch per Hand. Beim Versuch emcrypt wieder zu starten kommt allerdings die altbewährte Viruswarnung von NAV, und auch der dort angegebene Pfad ist noch gleich. Nur die Datei ist weg... |
|
|
||
24.10.2005, 18:28
Ehrenmitglied
Beiträge: 29434 |
#15
scanne bitte noch mal......
Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: SVKP Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
mein Computerwissen beschränkt sich leider auf das Schreiben von E-Mails und dem Surfen im Netz und dort habe ich mir oben genannten Trojaner eingefangen. Seit ca einer Woche bekomme ich die Meldung von Norton, dass ein Virus auf meinem Laufwerk C in WINDOWS/SYSTEM32 gefunden wurde und das Norton diesen weder löschen noch isolieren konnte. Auch ein Update von Norton und ein erneutes Scannen, wie von Sympathec empfohlen, bringt rein garnichts;-(. Wie bekomme ich diesen Trojaner wieder weg?
Bitte erklärt mir die einzelnen Schritte für einen Laien, da ich das fachchinesisch leider garnicht verstehe.
Vielen lieben Dank im Voraus
Grüsse Runa