SVKP.sys von Norton Antivir als Hacktool.Rootkit erkannt |
||
---|---|---|
#0
| ||
22.10.2005, 16:58
Moderator
Beiträge: 7805 |
||
|
||
22.10.2005, 18:21
Member
Beiträge: 28 |
#17
Raman wirkt irgendwie langsam genervt Fakt ist jedenfalls, das nicht plötzlich am 19.10. bei vielen Leuten diese Viruswarnmeldungen angezeigt werden können und die nun alle am 19.10. plötzlich infizierte Dateien vor allem bei Programmen haben, die schon länger installiert sind. Das sagt einem schon die Logik.
Ich jedenfalls schließe die Datei von der Norton Suche nicht aus solange ich nicht weiß, welches Problem da eigentlich dahinter steht. *bitterlich wein* 18.31 Uhr: Ach herrlich, Raman, danke für die von dir empfohlene Site zum scannen. Ich habe einmal die SVKP.zip Datei von dieser Site http://forum.worldofplayers.de/forum/showthread.php?p=1125863post1125863 , wo mein Norton Antivirus auch Alarm schlägt, trotzdem auf meinen Rechner downloaded, weil mir das noch immer sicherer erschien, als meine wahrscheinlich verseuchte SVKP.sys aus dem Isolationsbereich zu entfernen, um es auf deiner Site zur Analyse uploaden zu können. Ich habe also die Zip von obiger Site an die von dir empfohlene Site zur Analyse uploaded, und das Ergebnis war äußerst erhellend für mich: File: svkp_fix.zip Status: OK MD5 a161c945ddaaa45bbd2e5e1b55fb8997 Packers detected: - Scanner results AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing UNA Found nothing VBA32 Found nothing Also wenn es eines noch schlagenderen Beweises bedarf....... Hab 2 Ideen: Theoretisch bräuchte man jetzt nur die Möglichkeit, die Virendefinitionen von Symantec vor den 19.10.05 zurückzusetzen (z.b. mit einer Neuinstallation von Norton und erstmal keinem LiveUpdate), um zu sehen, ob dann diese Warnmeldung wieder erscheint. Wenn NICHT, haben wir das Problem eindeutig eingegrenzt. Ich bin ja fast versucht, das zu machen. Man sollte das aber wirklich nur auf die Fälle vom (ab) 19.10.05 Norton anwenden, den es gab ja tatsächlich schon verseuchte SVKP.sys Dateien in der Vergangenheit. ODER als Gegencheck: Jemand, der eine saubere SVKP.sys in seinem System hat (bitte schaut mal nach ), sollte die mal herauskopieren, packen, und online stellen, damit die jeder auf seinem System downloaden und scannen kann, die von diesen Virusmeldungen betroffen sind um zu sehen, ob hier wieder Falsch-Warnungen von NAV ausgegeben werden. Also DANN hätten wir - clever wie wir sind - den Beweis schlüssig mit Auschlußtheorie und Gegencheck erbracht, das NAV Falschmeldungen bei der SVKP.sys produziert. Denn das erklärt nämlich auch, wieso trotz dieser Virusmeldungen für diese Datei kein verursachender Schädling auf dem System gefunden werden kann, und bei einigen TROTZ Neuinstallation des gesamten Betriebssystems die Warnmeldungen wieder auftauchen. Wären doch mal 2 gute Vorschläge, oder? Ich würde gern zuerst letzteres mal ausprobieren. P.S.: ich habe mich nun entschlossen, meine "infizierte" SVKP.sys doch mal aus dem Isolationsbereich herauszunehmen, um sie bei http://virusscan.jotti.org/ scannen zu lassen. Das Ergebnis: Von 13 Scannern fand einer eine Infektion, der Letzte. File: SVKP.sys Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5 f05028b163b92c302a74409d683ac9b0 Packers detected: - Scanner results AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing UNA Found nothing VBA32 Found Virtool.SVKProtector Der hier angesprochene "Schädling" ist hier http://shield.prevx.com/pxresearchmalware.asp aufgelistet, und wird verlinkt auf http://shield.prevx.com/pxparall.asp?PXC=dd5435884 , hier beschrieben und ist eigentlich kein Virus. Beschrieben ist hier das Gleiche, wie in diesem von mir schon gepostetem Link: http://www.file.net/prozess/svkp.sys.html , bei dem es um die Firma AntiCracking geht. Also bezieht sich bei der Virusmeldung Virtool.SVKProtector oben die Warnung nur auf diese Anwendung. Jedenfalls wird das nicht als "Hacktool.rotkit" klassifiziert wie bei NAV. Diese Datei wird ja nun aber in verschiedenen Zusammenhängen benutzt und erstellt, also die SVKP.sys explizit dieser Firma zuzuweisen, stimmt also auch nicht. Mein Standardsatz mittlerweile: JEDER schreibt etwas ANDERES! Ich bräuchte UNBEDINGT mal von jemand eine saubere SVKP.sys, (möglichst der NAV hat, und Virenupdates NACH dem 19.10.05 hat), zum gegenchecken. Aber ich wette, da findet sich niemand. Wenn sich die nächsten Tage nichts grundsätzlich neues ergibt, schließe ich diese Datei zukünftig vom Scan aus. Wird man ja blöde sonst. Dieser Beitrag wurde am 22.10.2005 um 21:21 Uhr von Spooky_Boy editiert.
|
|
|
||
23.10.2005, 19:56
Member
Themenstarter Beiträge: 15 |
#18
Was war mit dem Server? Am Samstag kam ich nicht drauf und heute Morgen konnte ich gerade mal die neuen Beiträge ansehen, meine Antwort wurde ich aber nicht mehr los und abmelden ging auch nicht mehr.
Spooky Boy imponiert mir irgendwie! Raman aber auch! Temprament und Besinnung. Mir geht es aber im Moment, wie Spooky Boy. Wir haben alles für die Sicherheit unserer Systeme permanent getan und da schafft eine Datei Verwirrung, zu der aber auch wirklich das ganze Netz der Wissenden unendlich erscheint und die Ergebnisse der Analysten zum Teil konträr daherkommen. Niemand ist perfekt, aber ich glaube auch auf Grund der Indizien (Datum, Nichterkennen durch andere gute Scanner usw.) sollte man auch skeptisch auf seinen Virenscanner schaun und vertrauen in seine eigenen Sicherheitsmaßnahmen haben. Die SVKP.sys war auch auf meinem System sicherlich schon länger vorhanden. Wie sie dahingelangt ist, weis der Himmel. Ich habe ja nur 3 Spiele vor sehr langer Zeit installiert. Ebenso lange läuft auch NAV. Mahjong, Golf und Schach. Die sind ohne Updateservice. Da kann also nichts kommen. Am 19.10. habe ich lediglich Jac-WXP-Update-Service 2.6 aus dem Netz geholt und ausgeführt. Raman anbei das hjackThislog, das ich unmittelbar nach der Meldung von VAV gezogen habe. IP-Adressen habe ich überschrieben. Ich möchte ja keine Vorlagen liefern. Übrigens meine vorhergehenden Postings von eScan Virus Log Information ist nicht selektiert. Nur aus dem mwav.log habe ich den infected-Bereich selktiert, weil dies aus der Anleitung so hervorging. Das log umfast 16384 KB. Die wollte ich nicht zumuten. Ich habe ja die "infizierte" SVKP.Sys gelöscht. Bisher läuft noch alles im System. Auch die paar Spiele. Trotzdem möchte ich mich Spooky Boy anschließen und eine sauberes File dowloaden, wäre also für einen Hinweis von wo ich sie ziehen kann, dankbar. Logfile of HijackThis v1.99.1 Scan saved at 15:36:23, on 20.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\0900 Warner\w0svc.exe C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\system32\PowerDesk8\Matrox.PowerDesk.PDeskNet.exe C:\PROGRA~1\0900WA~1\WARN0900.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\QuickTime\iTunes\iTunesHelper.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\UPHClean\uphclean.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\GetRight\getright.exe C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe C:\Programme\GetRight\getright.exe C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Raxco\PerfectDisk\PDSched.exe C:\Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\Microsoft Reference\LexiROM 4.0\QShelf4g.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\Download\Software_Tools_WIN\HijackThis\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer F1 - win.ini: load=c:\commpro\bin\01comm32.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Opware12] "C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\system32\PowerDesk8\Matrox.PowerDesk.exe /silent O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\QuickTime\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe" O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: klickTel Herbst 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE O4 - Startup: OUTLOOK.lnk = C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE O4 - Startup: QShelf4g.lnk = C:\Programme\Microsoft Reference\LexiROM 4.0\QShelf4g.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} - O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - O16 - DPF: {2ED9BC2B-4DF1-472E-9B5E-55477D2C97F5} (Microsoft Data Collection Control) - O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} - O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} - O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} - O17 - HKLM\System\CCS\Services\Tcpip\..\{4062B1D3-4B9D-48CB-8319-2C1C7512FE69}: NameServer = Zwei IP´s O17 - HKLM\System\CCS\Services\Tcpip\..\{C5785F40-4D7E-458C-BE39-5DEDA8EC69EC}: NameServer = IP Standardgateway,DNS-Server mein PC O17 - HKLM\System\CCS\Services\Tcpip\..\{D1829EFD-0EBA-4683-AA8B-FC3712CF33D8}: NameServer = IP Standardgateway,DNS-Server mein PC O17 - HKLM\System\CCS\Services\Tcpip\..\{FE7FD460-8C66-4610-BFA9-8442887008D5}: NameServer = IP Standardgateway,DNS-Server mein PC O17 - HKLM\System\CS1\Services\Tcpip\..\{6752CAC7-4FB1-429B-8DA4-8DC2AEB28B83}: NameServer = IP Standardgateway,DNS-Server mein PC O17 - HKLM\System\CS2\Services\Tcpip\..\{4062B1D3-4B9D-48CB-8319-2C1C7512FE69}: NameServer = Zwei IP´s O17 - HKLM\System\CS3\Services\Tcpip\..\{4062B1D3-4B9D-48CB-8319-2C1C7512FE69}: NameServer = Zwei IP´s O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0900 Warner\w0svc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MGAFGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgafg.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing) O23 - Service: CHIPDRIVESCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
23.10.2005, 22:25
Member
Beiträge: 28 |
#19
In einem anderen Forum wo das Problem auch besprochen wird, betrifft es auch wieder 2 neue User. Beide benutzen emule und bekommen dort beim Start der Progs diese Meldung, so wie ich auch. Beide sind auch Norton User....
Das Schlimme daran ist, das man selbst nachdem man die Datei wiederherstellt, es so ist, das die Progs nicht laufen. Die Meldung "Error: Loader couldn't initialize service!" erscheint nach wie vor. Langsam überwiegt in den Foren auch der Ärger darüber, als über die Virusmeldung selber. Man muss erst nen Registry Eintrag der SVKP.sys löschen und die Systemwiederherstellung deaktvieren, dann die Programme selbst deinstallieren und auch deren Reg.Einträge. Da Norton EINEN bestimmten Reg. Eintrag der SVKP löscht, kommt das ganze System bezüglich der SVKP durcheinander. Danach Neustart, Sys.wi. wieder aktivieren, dann Progs neu intstaillieren, und DANN bevor man was anderes macht mit Norton scannen, die SVKP die es finden wird von der Suche ausschliessen. Ansonsten findet Norton die Datei wieder irgendwann im normalen Betrieb und isoliert die sofort wieder und ändert die Registry, und man hat den Quark von neuem. Ich glaube die Logs kannst du dir sparen Klawuhn. Du findest evtl. versteckte Schädlinge die du aufm System hast, weil man immer irgendwas drauf hat (wie ich sehen musste war bei Norton außer der SVKP alles ok aber Kaspersky fand paar Datein, nur nicht die SVKP.sys, oder wie ich oben schrieb fanden beim Onlinescan der SVKP.sys 12 Scanner nichts, und einer fand etwas, aber eben auch keinen "Hacktool.Rootkit", kicher) aber bezüglich der SVKP wirst du nichts auffälliges finden. Die Datei ist sauber. Da gibts keinen Hacktool.Rootkit. Im Gegenteil, ich bin ebenso wie du der Meinung, solche Logs nur mit Bauchschmerzen online zu stellen. Du machst ja im Prinizip dein gesamtes System vor Leuten nackig, die du nicht kennst. Du hast erstaunlich viel Sicherheitssoftware auf deinem PC, aber kaum normale Programme? Oder hast du die alle gelöscht hier? *fg* Was sicherst du denn so stark ab? *fg* Wenn ich deinen ersten beitrag richtig interpretiert habe, hast du (ihr) ein Netzwerk? Ich bin mal kühn, und vertraue einfach auf simple Logik. Da hat sich Symantec unwissentlich nen schönen Patzer erlaubt. Ich warte aber eben auch noch ab, und lass die Datei mal weiter im Isolationsbereich und nutze die Progs, die es betrifft, mal solange nicht. Da kann man mal sehen, wie sehr sich der normale Homeuser auf solche "Sicherheitssoftware" schon verlässt und sich alles verrückt macht, einschliesslich Technik, wenn dort ein Fehler auftaucht. Sicherheitstechnisch betrachtet ist das auch gefährlich, so eine kritiklose Hingabe und Glauben an die Allmacht, Rechtstreue und Unfehlbarkeit solcher Hersteller. Denn in diesem Zusammenhang muss ich auch mal erwähnen, das ich es noch nie verstanden habe, wieso Symantec SOVIEL Ports am Rechner für die Firewall für das eigene Programm freischaltet, wo kein Schw....weiß, was darüber eigentlich für Daten ausgetauscht werden. Auch der Passwortsafe von Symantec ist im Prinzip ein Sicherheitsrisiko im Hinblick auf deaktivierte Sicherheit und Diebstahl von Daten durch solche Trojaner und Rootkits. Das Beste ist immer noch: Papier und Stift, falls man es sich nicht merken kann. Das Schöne ist ja, das man vom PC aus DIESE Form der Speicherung nicht ausspähen kann. Denn das beste Beispiel war das Prog "JAP" (Anonymity and Privacy): Sie gaukelten Anonymität im Internet vor, durch mehrere Server die Mixkaskaden aufbauten und so deine IP verschleierten, und sie garantierten, das sie unabhängig seien. Bis heraus kam, das User doch Anzeigen erhielten und aufflog, das diese Server und Betreiber vom BKA irgendwann angeworben waren. User, die sich in Sicherheit wähnten, deren Daten waren die ganze Zeit abgefangen und ausgewertet worden. Ich hatte Samstag auch Probs mit der Site hier Klawuhn. Copy und bissel hin und her schieben und ich hab meinen ellenlangen Beitrag der Site untergemogelt, ob sie wollte oder nicht Dieser Beitrag wurde am 23.10.2005 um 23:11 Uhr von Spooky_Boy editiert.
|
|
|
||
23.10.2005, 23:04
Member
Beiträge: 13 |
#20
Falsche Alarme wird es immer geben natürlich auch von Norton. Nicht immer haben sie solche Auswirkungen sind aber auch nichts neues. Datei in die Ausnahme schieben bis Norton einen neue DEF Datei rausgibt die das behebt.
Wie sollen wir anderen sonst helfen, wenn nicht mit HijackThis logs und ich merke das dort rauseditiert wird (ausser name und links) kann er sich einenen anderen Helfer suchen. Wir sitzen nunmal nicht vor dem PC. |
|
|
||
24.10.2005, 19:58
Member
Themenstarter Beiträge: 15 |
#21
Hallo Gnmpf
Da ist aus dem HijackThis-Log nichts rauseditiert! Name und IP-Adressen natürlich ja! Das ist ein komplett einsehbares Forum hier. So viel Verständnis sollte in das Sicherheitsbedürfnis der Teilnehmer schon herrschen. Genauso wie ich anerkenne, das der Helfer für sich reklamiert, unverfälschte Daten zu erhalten. Spooky Boy ich programmiere auf meiner Maschine. Deshalb auch mein Sicherheitsbedürfnis. Da steckt einfach zu viel Arbeit drin, als dass ich irgendein Risiko eingehe, meine Daten zu versauen. Sichern tu ich auch noch zusätzlich. Versionen in den Programmen und Sprachversionen machen das erforderlich. Auf jeden Fall Danke jedem, der in diesem Thema aktiv geworden ist. Klawuhn |
|
|
||
24.10.2005, 23:24
Member
Beiträge: 28 |
#22
Das kann ich sehr gut verstehen Klawuhn.
Man kann ja ein LogFile nachträglich auch wieder aus dem Forum herauseditieren, wenn darauf keine Hilfe gegeben werden kann. Hast du eine Lösung oder Überlegung, wie du mit dieser Norton Geschichte nun weiter umgehst? Ich bin da unsicher, ich warte noch auf Antwort von Symantec. Dieser Beitrag wurde am 24.10.2005 um 23:28 Uhr von Spooky_Boy editiert.
|
|
|
||
25.10.2005, 10:49
Member
Themenstarter Beiträge: 15 |
#23
Hallo Spooky Boy!
Im Moment habe ich Spybot-Search und Destroy permanent auf die Registryüberwachung geschaltet, damit jede Veränderung sofort gemeldet und genehmigt werden muss. Weiter habe ich den Systemstatus vor der NAV-Warnung, der in GoBack ja archiviert ist, gebrannt. Das ist meine Hand am Geländer. So kann ich zu einem späteren Zeitpunkt auf mein altes System zurück. GoBack ist zwar manchmal lästig, weil es im Hintergrund ständig arbeitet und natürlich auch an der Performance knabbert. Aber in dieser und auch schon anderen schwierigen Situationen hat es sich für mich sehr gut bewährt. Zusätzlich läuft der Processexplorer permanent in einem Fenster, damit ich sehen kann welche Dienste gerade im Einsatz sind und ob plötzlich ein neuer Prozess auftaucht. Registry-Einträge zur SVKP.sys habe ich stehen gelassen, die SVKP.sys befindet sich aber nicht mehr auf meinem Rechner. Da warte ich ab, was vielleicht irgendwann nicht mehr funktioniert. Dann gehe ich dieses neue Problem gezielt an. Alle wichtigen Einstellungen, Pw´s und Funktionen habe ich schon ewig in Kladde editiert (Word organisiert und ausgedruckt, dann File auf Disk), wie Du auch schon richtig empfohlen hast. Eine Idee, die aber den Spielebesitzern nicht hilft, hatte ich auch. Eine andere normale Datei auf SVKP.sys umbenennen und indas WIN-Verz. stellen. Greift ein Prozess, eine Datei oder ein Dienst auf diese Datei als notwendige Signatur zu, glitscht er ab und ein Ereignis wird ausgelöst. Eventuell kommt sogar ein gezielter Hinweis aus der zugreifenden Software. Wie gesagt, es hilft nicht denen, die einem Spiel die SVKP.sys verdanken. Daher habe ich diese Idee auch nicht bekannt gemacht. Deine Hilfe war da bisher einfach besser. Wenn Symantec sich meldet, wäre ich dankbar das Ergebnis von Dir zu erfahren. Gruß Klawuhn |
|
|
||
27.10.2005, 06:34
Member
Beiträge: 28 |
#24
Hallo Klawuhn,
Deine Idee ist gar nicht schlecht, finde die sogar super. Ich überlege, ob ich das mal mache. Würde man sicher etwas mehr erfahren, als nur von den Programmen, die sich melden. Gibts bei dir irgend ne Änderung? Ich hab hier http://board.protecus.de/t19434-2.htm#202207 (27.10., 6.18 Uhr) weiter unten was zum LiveUpdate geschrieben, ist das bei dir auch so? Gruss P.S.: Da ich nicht auf meinen eigenen Beitrag antworten kann, muss ichs hier als P.S. einfügen: 8.30 Uhr: LAAACH, ca. 2 Stunden nach meinem Posting habe ich eine kleine sensationelle Neuigkeit: Wie es der Zufall so will hat mir gerade vorhin LiveUpdate ein neues Update angeboten, was ich auch gemacht habe. Seitdem wird die SVKP.sys von Norton nicht mehr bemängelt, auch wenn ich sie direkt anklicke und scannen lasse. Bitte um Rückmeldung bei wem das noch so ist. JUHUUUUUUUUUUUUUUUUUUUUUUU Gruss Spooky Dieser Beitrag wurde am 27.10.2005 um 08:35 Uhr von Spooky_Boy editiert.
|
|
|
||
27.10.2005, 12:23
Member
Themenstarter Beiträge: 15 |
#25
Hallo Spooky_Boy!
Ich habe auch gerade in meiner NAV nachgeschaut. NAV hat eine neue Definition gesendet. Also kann ja jetzt wohl Entwarnung gegeben werden. Leider kann ich die Prüfung nicht nachvollziehen, da ich ja die SKVP.sys rausgeschmissen habe. Bist Du in der Lage mir das File zukommen zu lassen? hjklawuhn@t-online.de. Das Erfolgserlebnis möchte ich mir doch nicht entgehen lassen. Meine Massnahmen haben bis jetzt nichts greifbares ergeben. Brauchen sie aber jetzt ja auch nicht mehr. Mit einem dreifachen JUHUUUUUUUU grüsst Klawuhn |
|
|
||
__________
MfG Ralf
SEO-Spam Hunter