komplettscan mit hacktool.rootkit

#0
20.10.2005, 00:35
...neu hier

Beiträge: 2
#1 Hallo alle zusammen!
ich hatte heute auf der seite ogame.de probleme mich einzuloggen und kurz darauf kam von norton die info hacktool.rootkit virus-blabla gefunden! hab mein system in letzter zeit ein wenig schleifen lassen und wollt das mal "checken" lassen! danke schonmal im vorraus!!!!

Logfile of HijackThis v1.99.1
Scan saved at 00:34:28, on 20.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\Dit.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\SteffenH\Desktop\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - (no file)
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SymNetDrv\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Project Neon] "C:\Programme\Project Neon\2.0\ProjectNeon.exe" /startup
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\Script Blocking\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
Seitenanfang Seitenende
21.10.2005, 02:00
Member

Beiträge: 28
#2 Hi, ich habe das Gleiche Problem und werde noch wahnsinnig.
Es fing gestern an, bei anklicken einer Datei (Weiß nicht mehr welche, nahm das erst nicht weiter ernst), kam eine Warnmeldung von NortonAntivirus. Hab mich durch die "OKs" geklickt, und gut. Doch heute beim starten von Emule wieder: Norton meldet ein Virus: Objektname die Datei SVKP.SYS, im Verzeichnis C>Windows>System32, unter Virenname steht Hacktool.Rootkit, Die Datei kann nicht rapiert werden, der Zugriff wird verweigert. Obwohl alle Systemdateien angezeigt werden, existiert die Datei SVKP.SYS aber überhaupt nicht wenn ich sie suche, egal wie und wo ich sie suche. Daher habe ich gar keine Chance, die überhaupt zu entfernen.

Im Internet schreibt JEDER was ANDERES, vom kompletten plattmachen des Systems bis hin, das es nichts gefährliches sei.

Was mich besonders wütend macht, und ich BIN wütend denn ich sitze seit Stunden an diesem Schei... hier, das jeder Anbieter von Antivierensoftware etwas anderes dazu schreibt. Es soll wohl ein Wurm sein, der aber jedesmal unterschiedlich benannt wird, er hat zig Namen, und alle sagen etwas anderes zum eliminieren des Problems.

Soweit ich nun weiß stehen mit diesem Trojaner auch irgendwie noch die Dateien SYSMON32.exe, die SystemDLL.exe, und die MSDirectx.sys in Zusammenhang. Mal schreibt jemand, das wären normale Systemdateien die der trojaner/Virus/ Wurm (da schreibt nämlich auch jeder was anderes) befällt, andere schreiben, die gehörten überhaupt nicht daher und müssten weg.

In der Registry habe ich nun einiges zu diesen Dateien gefunden, und da die sowieso mit keiner wichtigen Sache in Zusammenhang standen, habe ich die Systemwiederherstellung deaktiviert und alles gelöscht.

Als ich emule neu installiert habe, und wieder starten wollte, kam wieder die warnmeldung von Norton Antivirus: "Virus gefunden. Objektname:SVKP.SYS, Virenname: Hacktool.Rootkit"

Was soll ich da machen?

Was mich STINKSAUER macht ist folgendes: Ich habe eigentlich ein komplett abgeschirmtes system, sitze hinter einem Router, Habe Firewall und Virenprog, immer auf neuestem stand, ich scanne regelmäßig, außer bei Emule nehme ich nie irgendwelche fremden dateien an (Und norton scannt sowieso alle Dateien die auf den Rechner kommen), und trotzdem bekomme ich so einen Schei... auf den PC. Da werden in den Medien, selbst in Nachrichtensendungen die dümmsten kleinen Würmer, die abslout ungefährlich sind (vielleicht lästig) behandelt, aber soclhe wie ich habe, und irgendwie immer mehr hier, werden NIERGENDWO erwähnt, die Infos sind spärlich und verwirrend, und die freichheit bei Symantec ist noch, das man dort schreibt "Entfernung:Einfach, Gefährdung:Mittel", und man im gleichen zusammenhang erwähnt, das man evtl. sein system komplett neu aufziehen muss.

Da bin ich beim nächsten was mich tierisch ärgert. Es gibt keine genauen Infos, was nun der schaden sein kann. Soll ich onlinebanking noch machen oder nicht? Einige schreiben, man solle alle Passwörter, vom system zb., banking, daten, Kreditkarte etc. alles sperren lassen oder ändern. Wie stellen die sich das vor? Wegen einem wurm, wo man nichtmal weiß, wie und wo man sich den eingefangen hat? So etwas, wie das neu aufspielen des systems, empfehlen sicher nur Leute, die ne 50 GB Festplatte und 3 oder 4 Programmchen installiert haben.
Ich habe 200 GB Daten auf dem PC, zig Programme, ich kann GAR NICHT neu installieren, ich möchte mal wissen wie sich einige das vorstellen. Ich habe auch keine backUps, so etwas lohnt sich ab 100 GB auch nicht mehr. Ich möchte mal den sehen, der wöchentlich BackUps von 100 GB Daten macht. Diese ganzen Empfehlungen sind doch alle realitätsfremd. Und was machen Firmen, die ebenfalls Tonnenweise Daten haben? Heutzutage kann man sich einen "Komplett-NEU" gar nicht mehr leisten. Das dauert TAGE bei mir !!! Hunderte kleiner Einstellungen bei zig Progs, alles erst wieder updaten, kofigurieren...GOTT! Ich hab XP und zig Systemprogs drauf, das mein system eben immer stabil läuft und ich nichts formatieren muss. Ok, gegen wirkliche Crahs ist man dann auch nicht gechützt. Da kann ich aber sagen: Pech gehabt. Aber hier? Wozu habe ich dann all die teure Antivirensoftware, wo einen die Hersteller fast paranoid machen wenn sie jedesmal ein geschrei bei harmlosen Dingen machen, aber wirklich hartnäckige und heimtückische Dinge nichtmal übereinstimmend interpretieren können? Zumal: Mir nützt das alles nichts, wenn ich nicht weiß, woher ich das Ding habe. Irgendein Prog was ich letztens installiert habe? Aber welches? Wann hat sich denn der Wurm aktiviert? Ich kann ja gar kein bezug zu einem Programm herstellen. Vielleicht aus ner Mail? Vielleicht aus dem IE über Active X? Über Emule? Solange ich das nicht weiß, brauche ich auch mein System nicht neu machen. Das wäre ja hirnrissig. Stellt euch mal vor, ich mache alles neu, sitze da Tage am PC, und am Ende habe ich das Gleiche Problem wieder, weil ich eben nicht weiß, wo sich der Wurm versteckt. Was ist, wenns nicht in einer Systemdatei ist, sondern in irgendwelchen Daten evrsteckt, mpeg, Soundfiles etc., die ich anklicke? Davon kann ich auch nichts löschen, das fällt sowieso aus, mal abgesehen davon, das ich nicht blind nach Rasenmäherprinzip alles platt mache. Ich will schon wissen, wo der fehler liegt.

Und dann Symantec: Diese ganzen Virenscanner, das habe ich jetzt gemerkt, lassen einen alle im Stich wenns drauf ankommt. So neu ist das doch nicht wenn ich mir Google ansehe, wieso wird dann der Wurm von keinem Virenscanner gefunden? Verklagen müsste man die wegen Irreführung! Ruft man die Hotline an (was ich eh nie mache) verlangt man bei Symantec von Haus aus 27 Euro !!! Ich habe die aktuellesten Virendefinitionen vom 19.10.05, und trotzdem wird beim komplettscan des System NICHTS , aber auch GAR NICHTS gefunden. Da hat man so ein Schei... Prog auf dem Rechner, und es zeigt einen Rootkit an, kanns aber weder isolieren noch löschen, und wenn ich das System insgesamt scanne, wird plötzlich nichts gefunden, weder die infizierten Dateien, noch das Hacktool bzw. der Wurm selber.

Wenn ich so kucke bieten die meisten Hersteller erst so ab August Entfernungstools an. Kann es sein, das es sich hier um einen komplett neuen Wurm handelt? So irgendwie habe ich nämlich den Verdacht.

Achso, auch das Entfernungstool Fixmybat von Symantec für diesen Wurm fand nichts, RootkitRevealer zeigte ein paar Dateien an, aber alles 0 KB Dateien und Registry Einträge die bei der Suche auch nicht vorhanden waren, und auch blbeta, ein Tool was explizit die Entfernung von Hacktool.Rootkits verspricht, findet NICHTS !!!!

Wie kann so etwas sein?

Ist es wirklich nur ein harmloser Wurm, der eine Rootkit Attacke SIMULIERT, wie ICH VERMUTE, oder sind die Schutzsoftwareanbieter im Grunde genauso ratlos wie wir?

Denn einerseits, vorrausgesetzt mein system wäre total inflitriert und bereits fremdgesteuert, wie auf einingen Seiten diesbezüglich steht, müsste doch wenigstens EINES dieser ganzen Scanner etwas anzeigen? Was hat dann die ganze zeit meine Firewall gemacht? Geschlafen? Die ist auch aktiv die ganze Zeit, und nicht etwa abgeschalten. Dann heißt es wieder, der Wurm deaktiviert diese. Wozu habe ich dann den Schutz vor Manipulation der Software bei Symantec, und wozu hab ich den aktiviert? Und andererseits, wenn gar nichts passiert ist, woher dann diese laufenden Warnmeldungen von Norton?

Im grunde genommen zopcken die einem alle Geld aus der Tasche und wir stehen in puncto Internetsicherheit genau da, wo wir vor 10 jahren auch schonwaren.

Vielleicht hat ja doch jemand ne Lösung.

P.S.: Ich habe jetzt nicht Rechtschreibung kontrolliert. sorry

spooky

P.P.S.: Habe mal alles durchprobiert: Die warnmeldung erscheint, wenn ich - wie gesagt - emule starten will (auch nach Neuinstallation und vorherigem komplett löschen, auch der Reg), und wenn ich ein Soundprog starten will. Ich habe beide nun wieder komplett gelöscht. Immer wieder kommt, wenn ich die beiden Progs neu installiere von garantiert sauberen Medien, die Meldung von Norton "Virus gefunden. C>Windows>System32, Objektname SVKP.sys, Virenname: Hacktool.roolkit." Die beiden Progs liefen auch Monate und Jahre sauber, es ist nicht so, das ich die erst installieren wollte. Wie gesagt: Ich weiß echt nicht woher das kommt, kein Virenscanner findet einen Wurm oder sonstiges. Auch 2 Onlinevirenscanner fanden nichts, einer gar nichts, ein anderer außer die bei Norton Antivirus in Quarantäne befindlichen Dateien auch nichts. Das kann doch bald gar nicht sein. Ich habe seit Jahren PC und Internet und hatte noch nie so ein riesiges Problem und eigentlich einige Erfahrung mit solchen Dingen. Wenn selbst aktuelle Virenscanner nichts finden und ALLE Dateien gescannt werden, verstehe ich nicht, wieso der dahinter sitzende Wurm nicht erkannt wird. (Oder was auch immer)
Wie gesagt: Ich habe bei XP sämtliche Updates und Patches, erst letzte Woche wieder aktualisiert, meine NortonInternetsecurity ist immer aktiviert und immer auf dem neuestem Stand, die letzte Viredefinition von Live-Update stammt von vorgestern, 19.10.05
Ich bin echt ratlos =((
Dieser Beitrag wurde am 21.10.2005 um 05:35 Uhr von Spooky_Boy editiert.
Seitenanfang Seitenende
21.10.2005, 08:08
Member

Beiträge: 1132
#3 Hallo Spooky_Boy,

hast Du schon einmal daran gdacht, dass es evtl. ein Fehlalarm sein könnte?

Hast Du im Win-Explorer die Anzeige aller versteckten Dateien aktiviert?

Überprüfe Dein System doch einmal mit dem Online-Scan von Kaspersky http://virus-protect.org/onlinescan.html

Poste ein HJT Log http://virus-protect.org/hjtkurz.html

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
21.10.2005, 14:31
...neu hier

Themenstarter

Beiträge: 2
#4 also ich hab jetzt einfach mal adaware und antivir xp und norton auf den neusten versionen drüberscannen lassen und seither is kein problem mehr zu finden!
Seitenanfang Seitenende
21.10.2005, 17:07
Member

Beiträge: 28
#5 Ja Heron,
ich hatte alle Dateien, auch versteckte-, und Systemdateien anzeigen lassen.

Ich habe 3 Onlinescanner drüber laufen lassen:
1. Symantec, wo ich auch gleich einen Securitycheck machen liess. Laut diesem ist mein PC sicher, und zum Glück sind keine Ports heimlich offen oder ähnliches, der Virenscan brachte NULL Ergebnisse,
als 2. liess ich den Onlinescanner von Panda drüber laufen, auch nichts, nichtmal irgendein anderes Virus,
als 3. liess ich den von dir erwähnten Scanner von Kaspersky drüber laufen, der fand zwar was, aber das waren 1. die Quarantäne Dateien von Norton, also so gesehen nichts, und 2. einige Zip Dateien in einem Ordner, die zwar demnach potentiell gefährlich sind, aber nicht ursächlich sein können, weil ich die nie geöffnet oder "angefasst" habe (das waren vor Monaten mal heruntergeladene XP-Themes, eigentlich von einer vertrauenswürdigen Site, die seitdem in dem Ordner versauern). Wobei mich wunderte, wieso all die anderen Scanner, vor allem mein systemeigenes Norton-Antivirus, das nicht anzeigten.
Aber bis auf diese 2 Sachen, wobei die Quarantäne ja im Prinzip "Falsch-Positive" Meldungen sind, ist einfach nichts auf dem PC. Nirgendwo ein Wurm, ein Programm oder ähnliches was aktiv oder gar ausführbar sein könnte.

Ich dachte auch schon an einen Fehlalarm, aber bei so einer kritischen Sache wie einem Hacktool.Roolkit bin ich da vorsichtig, zumal die Meldung plötzlich bei 2 Porgrammen auftauchte (Emule und einem Soundprog) die schon ewig installiert sind, und deren Installationsstruktur auch in letzter Zeit nicht verändert wurde. Ok, Emule habe ich öfter mal neu installiert, lief aber auch schon wieder 2 Monate. Vor allem lassen sie sich nicht mehr installieren, obwohl alle Dateien einschl. Reg-Einträge gelöscht wurden. Jedesmal erscheint die Viruswarnmeldung, wenn ich sie wieder installieren will. Die Quellen sind definitiv sauber.
Ich versuche die ganze Zeit zu verstehen und nachzuvollziehen, wie die ausgelöst werden könnte, aber Norton ist da nicht hilfreich, und wenn ich nicht mal einen Anhaltspunkt für einen Wurm irgendwo finde, brauche ich gar nicht erst zu suchen.

Ich finde ja auch nie diese SVKP.sys Datei auf meinem System, die Norton immer findet, und auch isoliert. Mal gehts nicht, mal kann es die isolieren. Die Datei ist dann nur im Isolationsbereich von Antivirus zu "sehen" und ist 2,32 KB groß, die Verbreitung soll angeblich "häufig" sein, obwohl man selbst bei Google nicht allzuviel dazu findet, und bei Symantec die Datei mit verschiedenen Schädlingen in Zusammenhang gebracht wird. Also nicht hilfreich.
Also muß die jedesmal erst beim Starten der oben erwähnten Progs erstellt werden, und wird dann sofort von Antivirus abgefangen.
Ich hab so ein paar Theorien zu der SVKP.sys Datei, aber die sind nicht reif, ausgesprochen zu werden. ;)

Ich hab nur Schiss, das sich das so allmählich auf andere Programme ausdehnt, und dann habe ich den Salat.

Aber wie gesagt: Es wird ja nie irgendwo etwas auf meinem System gefunden. (Also etwas, was nun neu und auffällig wäre. Die XPThemes, obwohl ich weiß, dass diese Zip-Dateien nichts machen, habe ich nach dem Kaspersky Scan vorsichtshalber doch gelöscht. Am Problem hat das aber nichts geändert)

Zu HJT: Ich möchte eigentlich nicht so öffentlich in einem Forum wo ich die User nicht kenne, gleich das Log reinstellen und jeder sieht im groben, was ich für ein System habe. Ich kanns ja privat schicken, oder vielleicht sagst du mir, wonach du suchen willst. ;) ;)
Dieser Beitrag wurde am 21.10.2005 um 17:41 Uhr von Spooky_Boy editiert.
Seitenanfang Seitenende
21.10.2005, 18:01
Member

Beiträge: 1132
#6 @Spooky_Boy

siehe Dir diesen Thread auch einmal an.
http://board.protecus.de/t19781-lastpage.htm

Wenn Du das HJT Log nicht posten willst - ok! Dann kann Dir aber auch hier keiner weiterhelfen. Privat senden ist keine gute Lösung, da viele Augen erheblich mehr sehen und es iel vbesser ist, die Info dem breiten Board zukommen zu lassen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
21.10.2005, 21:13
Member

Beiträge: 28
#7 Hey Danke Heron, obwohl ich damit vorsichtig bin, glaube ich langsam auch, das es ein Fehlalarm ist. Denn: Ein anderer User aus einem anderen board auch mal rumgegrast, und ihm ist aufgefallen, das sich diese Hacktool Meldungen mit der SVKP.sys seit dem 19.10.05 häufen und allemsat nur Norton Antivirus betreffen.
Ich warte mal ab, wie sich das weiter entwickelt und bleibe mal auch in den Boards.

Gruss Spooky
Seitenanfang Seitenende
21.10.2005, 22:10
Moderator

Beiträge: 7805
#8 Nein, es ist kein Fehlalarm. Es stellt sich nur die Frage, ob man das melden sollte. Es bedeutet naemlich, das es irgendwo eine Datei gibt, die mit SVKP gepackt wurde. Das ist immer verdaechtig, wenn sich diese *.sys Datei auch noch irgendwo im Windowsordner befindet, kann es eigentlich nur Malware sein.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.10.2005, 00:14
Member

Beiträge: 28
#9 Hallo Raman, da hier mehrer Threads darüber existieren, verlege ich meine Antwort mit ein paar neuen Aspekten mal in diesen Thread, der oben von schon von Heron gepostet wurde: http://board.protecus.de/t19781-lastpage.htm

Ich will damit Doppelpostings vermeiden. Ich hoffe das ist in deinem Interesse.

Gruss Spooky
Dieser Beitrag wurde am 22.10.2005 um 04:42 Uhr von Spooky_Boy editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: