SVKP.sys von Norton Antivir als Hacktool.Rootkit erkannt

#0
22.10.2005, 16:58
Moderator

Beiträge: 7805
#16 Gehe hin und schliesse diese Datei von der Nortonsuche aus und ruhe ist. Du kannst die Date ja noch bei der Adresse untersuhen lassen, die ich oben angegeben habe.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.10.2005, 18:21
Member

Beiträge: 28
#17 Raman wirkt irgendwie langsam genervt ;) Fakt ist jedenfalls, das nicht plötzlich am 19.10. bei vielen Leuten diese Viruswarnmeldungen angezeigt werden können und die nun alle am 19.10. plötzlich infizierte Dateien vor allem bei Programmen haben, die schon länger installiert sind. Das sagt einem schon die Logik. ;)

Ich jedenfalls schließe die Datei von der Norton Suche nicht aus solange ich nicht weiß, welches Problem da eigentlich dahinter steht. *bitterlich wein*

18.31 Uhr: Ach herrlich, Raman, danke für die von dir empfohlene Site zum scannen. Ich habe einmal die SVKP.zip Datei von dieser Site http://forum.worldofplayers.de/forum/showthread.php?p=1125863&#post1125863 , wo mein Norton Antivirus auch Alarm schlägt, trotzdem auf meinen Rechner downloaded, weil mir das noch immer sicherer erschien, als meine wahrscheinlich verseuchte SVKP.sys aus dem Isolationsbereich zu entfernen, um es auf deiner Site zur Analyse uploaden zu können. Ich habe also die Zip von obiger Site an die von dir empfohlene Site zur Analyse uploaded, und das Ergebnis war äußerst erhellend für mich:

File: svkp_fix.zip
Status: OK
MD5 a161c945ddaaa45bbd2e5e1b55fb8997
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing


Also wenn es eines noch schlagenderen Beweises bedarf....... ;)

Hab 2 Ideen:

Theoretisch bräuchte man jetzt nur die Möglichkeit, die Virendefinitionen von Symantec vor den 19.10.05 zurückzusetzen (z.b. mit einer Neuinstallation von Norton und erstmal keinem LiveUpdate), um zu sehen, ob dann diese Warnmeldung wieder erscheint. Wenn NICHT, haben wir das Problem eindeutig eingegrenzt. Ich bin ja fast versucht, das zu machen. Man sollte das aber wirklich nur auf die Fälle vom (ab) 19.10.05 Norton anwenden, den es gab ja tatsächlich schon verseuchte SVKP.sys Dateien in der Vergangenheit.

ODER als Gegencheck: Jemand, der eine saubere SVKP.sys in seinem System hat (bitte schaut mal nach ;) ), sollte die mal herauskopieren, packen, und online stellen, damit die jeder auf seinem System downloaden und scannen kann, die von diesen Virusmeldungen betroffen sind um zu sehen, ob hier wieder Falsch-Warnungen von NAV ausgegeben werden. Also DANN hätten wir - clever wie wir sind - den Beweis schlüssig mit Auschlußtheorie und Gegencheck erbracht, das NAV Falschmeldungen bei der SVKP.sys produziert.

Denn das erklärt nämlich auch, wieso trotz dieser Virusmeldungen für diese Datei kein verursachender Schädling auf dem System gefunden werden kann, und bei einigen TROTZ Neuinstallation des gesamten Betriebssystems die Warnmeldungen wieder auftauchen.

Wären doch mal 2 gute Vorschläge, oder? Ich würde gern zuerst letzteres mal ausprobieren.

P.S.: ich habe mich nun entschlossen, meine "infizierte" SVKP.sys doch mal aus dem Isolationsbereich herauszunehmen, um sie bei http://virusscan.jotti.org/ scannen zu lassen. Das Ergebnis: Von 13 Scannern fand einer eine Infektion, der Letzte.

File: SVKP.sys
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 f05028b163b92c302a74409d683ac9b0
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found Virtool.SVKProtector

Der hier angesprochene "Schädling" ist hier http://shield.prevx.com/pxresearchmalware.asp aufgelistet, und wird verlinkt auf http://shield.prevx.com/pxparall.asp?PXC=dd5435884 , hier
beschrieben und ist eigentlich kein Virus. Beschrieben ist hier das Gleiche, wie in diesem von mir schon gepostetem Link: http://www.file.net/prozess/svkp.sys.html , bei dem es um die Firma AntiCracking geht. Also bezieht sich bei der Virusmeldung Virtool.SVKProtector oben die Warnung nur auf diese Anwendung. Jedenfalls wird das nicht als "Hacktool.rotkit" klassifiziert wie bei NAV. Diese Datei wird ja nun aber in verschiedenen Zusammenhängen benutzt und erstellt, also die SVKP.sys explizit dieser Firma zuzuweisen, stimmt also auch nicht.
Mein Standardsatz mittlerweile: JEDER schreibt etwas ANDERES! ;)
Ich bräuchte UNBEDINGT mal von jemand eine saubere SVKP.sys, (möglichst der NAV hat, und Virenupdates NACH dem 19.10.05 hat), zum gegenchecken. Aber ich wette, da findet sich niemand.

Wenn sich die nächsten Tage nichts grundsätzlich neues ergibt, schließe ich diese Datei zukünftig vom Scan aus. Wird man ja blöde sonst.
Dieser Beitrag wurde am 22.10.2005 um 21:21 Uhr von Spooky_Boy editiert.
Seitenanfang Seitenende
23.10.2005, 19:56
Member

Themenstarter

Beiträge: 15
#18 Was war mit dem Server? Am Samstag kam ich nicht drauf und heute Morgen konnte ich gerade mal die neuen Beiträge ansehen, meine Antwort wurde ich aber nicht mehr los und abmelden ging auch nicht mehr.
Spooky Boy imponiert mir irgendwie! Raman aber auch! Temprament und Besinnung. Mir geht es aber im Moment, wie Spooky Boy. Wir haben alles für die Sicherheit unserer Systeme permanent getan und da schafft eine Datei Verwirrung, zu der aber auch wirklich das ganze Netz der Wissenden unendlich erscheint und die Ergebnisse der Analysten zum Teil konträr daherkommen. Niemand ist perfekt, aber ich glaube auch auf Grund der Indizien (Datum, Nichterkennen durch andere gute Scanner usw.) sollte man auch skeptisch auf seinen Virenscanner schaun und vertrauen in seine eigenen Sicherheitsmaßnahmen haben. Die SVKP.sys war auch auf meinem System sicherlich schon länger vorhanden. Wie sie dahingelangt ist, weis der Himmel. Ich habe ja nur 3 Spiele vor sehr langer Zeit installiert. Ebenso lange läuft auch NAV. Mahjong, Golf und Schach. Die sind ohne Updateservice. Da kann also nichts kommen. Am 19.10. habe ich lediglich Jac-WXP-Update-Service 2.6 aus dem Netz geholt und ausgeführt.
Raman anbei das hjackThislog, das ich unmittelbar nach der Meldung von VAV gezogen habe. IP-Adressen habe ich überschrieben. Ich möchte ja keine Vorlagen liefern.
Übrigens meine vorhergehenden Postings von eScan Virus Log Information ist nicht selektiert. Nur aus dem mwav.log habe ich den infected-Bereich selktiert, weil dies aus der Anleitung so hervorging. Das log umfast 16384 KB. Die wollte ich nicht zumuten.
Ich habe ja die "infizierte" SVKP.Sys gelöscht. Bisher läuft noch alles im System. Auch die paar Spiele. Trotzdem möchte ich mich Spooky Boy anschließen und eine sauberes File dowloaden, wäre also für einen Hinweis von wo ich sie ziehen kann, dankbar.
Logfile of HijackThis v1.99.1
Scan saved at 15:36:23, on 20.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\0900 Warner\w0svc.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\PowerDesk8\Matrox.PowerDesk.PDeskNet.exe
C:\PROGRA~1\0900WA~1\WARN0900.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\iTunes\iTunesHelper.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\GetRight\getright.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Microsoft Reference\LexiROM 4.0\QShelf4g.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Download\Software_Tools_WIN\HijackThis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F1 - win.ini: load=c:\commpro\bin\01comm32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Opware12] "C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\system32\PowerDesk8\Matrox.PowerDesk.exe /silent
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\QuickTime\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: klickTel Herbst 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE
O4 - Startup: OUTLOOK.lnk = C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
O4 - Startup: QShelf4g.lnk = C:\Programme\Microsoft Reference\LexiROM 4.0\QShelf4g.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) -
O16 - DPF: {2ED9BC2B-4DF1-472E-9B5E-55477D2C97F5} (Microsoft Data Collection Control) -
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} -
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} -
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{4062B1D3-4B9D-48CB-8319-2C1C7512FE69}: NameServer = Zwei IP´s
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5785F40-4D7E-458C-BE39-5DEDA8EC69EC}: NameServer = IP Standardgateway,DNS-Server mein PC
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1829EFD-0EBA-4683-AA8B-FC3712CF33D8}: NameServer = IP Standardgateway,DNS-Server mein PC
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE7FD460-8C66-4610-BFA9-8442887008D5}: NameServer = IP Standardgateway,DNS-Server mein PC
O17 - HKLM\System\CS1\Services\Tcpip\..\{6752CAC7-4FB1-429B-8DA4-8DC2AEB28B83}: NameServer = IP Standardgateway,DNS-Server mein PC
O17 - HKLM\System\CS2\Services\Tcpip\..\{4062B1D3-4B9D-48CB-8319-2C1C7512FE69}: NameServer = Zwei IP´s
O17 - HKLM\System\CS3\Services\Tcpip\..\{4062B1D3-4B9D-48CB-8319-2C1C7512FE69}: NameServer = Zwei IP´s
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0900 Warner\w0svc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MGAFGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgafg.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: CHIPDRIVESCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
23.10.2005, 22:25
Member

Beiträge: 28
#19 In einem anderen Forum wo das Problem auch besprochen wird, betrifft es auch wieder 2 neue User. Beide benutzen emule und bekommen dort beim Start der Progs diese Meldung, so wie ich auch. Beide sind auch Norton User....

Das Schlimme daran ist, das man selbst nachdem man die Datei wiederherstellt, es so ist, das die Progs nicht laufen. Die Meldung "Error: Loader couldn't initialize service!" erscheint nach wie vor. Langsam überwiegt in den Foren auch der Ärger darüber, als über die Virusmeldung selber. Man muss erst nen Registry Eintrag der SVKP.sys löschen und die Systemwiederherstellung deaktvieren, dann die Programme selbst deinstallieren und auch deren Reg.Einträge. Da Norton EINEN bestimmten Reg. Eintrag der SVKP löscht, kommt das ganze System bezüglich der SVKP durcheinander. Danach Neustart, Sys.wi. wieder aktivieren, dann Progs neu intstaillieren, und DANN bevor man was anderes macht mit Norton scannen, die SVKP die es finden wird von der Suche ausschliessen. Ansonsten findet Norton die Datei wieder irgendwann im normalen Betrieb und isoliert die sofort wieder und ändert die Registry, und man hat den Quark von neuem.

Ich glaube die Logs kannst du dir sparen Klawuhn. Du findest evtl. versteckte Schädlinge die du aufm System hast, weil man immer irgendwas drauf hat (wie ich sehen musste war bei Norton außer der SVKP alles ok aber Kaspersky fand paar Datein, nur nicht die SVKP.sys, oder wie ich oben schrieb fanden beim Onlinescan der SVKP.sys 12 Scanner nichts, und einer fand etwas, aber eben auch keinen "Hacktool.Rootkit", kicher) aber bezüglich der SVKP wirst du nichts auffälliges finden. Die Datei ist sauber. Da gibts keinen Hacktool.Rootkit.
Im Gegenteil, ich bin ebenso wie du der Meinung, solche Logs nur mit Bauchschmerzen online zu stellen. Du machst ja im Prinizip dein gesamtes System vor Leuten nackig, die du nicht kennst. Du hast erstaunlich viel Sicherheitssoftware auf deinem PC, aber kaum normale Programme? Oder hast du die alle gelöscht hier? *fg* Was sicherst du denn so stark ab? *fg* Wenn ich deinen ersten beitrag richtig interpretiert habe, hast du (ihr) ein Netzwerk?
Ich bin mal kühn, und vertraue einfach auf simple Logik. Da hat sich Symantec unwissentlich nen schönen Patzer erlaubt. ;) Ich warte aber eben auch noch ab, und lass die Datei mal weiter im Isolationsbereich und nutze die Progs, die es betrifft, mal solange nicht.

Da kann man mal sehen, wie sehr sich der normale Homeuser auf solche "Sicherheitssoftware" schon verlässt und sich alles verrückt macht, einschliesslich Technik, wenn dort ein Fehler auftaucht. Sicherheitstechnisch betrachtet ist das auch gefährlich, so eine kritiklose Hingabe und Glauben an die Allmacht, Rechtstreue und Unfehlbarkeit solcher Hersteller. Denn in diesem Zusammenhang muss ich auch mal erwähnen, das ich es noch nie verstanden habe, wieso Symantec SOVIEL Ports am Rechner für die Firewall für das eigene Programm freischaltet, wo kein Schw....weiß, was darüber eigentlich für Daten ausgetauscht werden. Auch der Passwortsafe von Symantec ist im Prinzip ein Sicherheitsrisiko im Hinblick auf deaktivierte Sicherheit und Diebstahl von Daten durch solche Trojaner und Rootkits. Das Beste ist immer noch: Papier und Stift, falls man es sich nicht merken kann. Das Schöne ist ja, das man vom PC aus DIESE Form der Speicherung nicht ausspähen kann. ;)
Denn das beste Beispiel war das Prog "JAP" (Anonymity and Privacy): Sie gaukelten Anonymität im Internet vor, durch mehrere Server die Mixkaskaden aufbauten und so deine IP verschleierten, und sie garantierten, das sie unabhängig seien. Bis heraus kam, das User doch Anzeigen erhielten und aufflog, das diese Server und Betreiber vom BKA irgendwann angeworben waren. User, die sich in Sicherheit wähnten, deren Daten waren die ganze Zeit abgefangen und ausgewertet worden.

Ich hatte Samstag auch Probs mit der Site hier Klawuhn. Copy und bissel hin und her schieben und ich hab meinen ellenlangen Beitrag der Site untergemogelt, ob sie wollte oder nicht ;)
Dieser Beitrag wurde am 23.10.2005 um 23:11 Uhr von Spooky_Boy editiert.
Seitenanfang Seitenende
23.10.2005, 23:04
Member

Beiträge: 13
#20 Falsche Alarme wird es immer geben natürlich auch von Norton. Nicht immer haben sie solche Auswirkungen sind aber auch nichts neues. Datei in die Ausnahme schieben bis Norton einen neue DEF Datei rausgibt die das behebt.

Wie sollen wir anderen sonst helfen, wenn nicht mit HijackThis logs und ich merke das dort rauseditiert wird (ausser name und links) kann er sich einenen anderen Helfer suchen. Wir sitzen nunmal nicht vor dem PC.
Seitenanfang Seitenende
24.10.2005, 19:58
Member

Themenstarter

Beiträge: 15
#21 Hallo Gnmpf
Da ist aus dem HijackThis-Log nichts rauseditiert! Name und IP-Adressen natürlich ja! Das ist ein komplett einsehbares Forum hier. So viel Verständnis sollte in das Sicherheitsbedürfnis der Teilnehmer schon herrschen. Genauso wie ich anerkenne, das der Helfer für sich reklamiert, unverfälschte Daten zu erhalten. Spooky Boy ich programmiere auf meiner Maschine. Deshalb auch mein Sicherheitsbedürfnis. Da steckt einfach zu viel Arbeit drin, als dass ich irgendein Risiko eingehe, meine Daten zu versauen. Sichern tu ich auch noch zusätzlich. Versionen in den Programmen und Sprachversionen machen das erforderlich.
Auf jeden Fall Danke jedem, der in diesem Thema aktiv geworden ist. Klawuhn
Seitenanfang Seitenende
24.10.2005, 23:24
Member

Beiträge: 28
#22 Das kann ich sehr gut verstehen Klawuhn. ;)
Man kann ja ein LogFile nachträglich auch wieder aus dem Forum herauseditieren, wenn darauf keine Hilfe gegeben werden kann.
Hast du eine Lösung oder Überlegung, wie du mit dieser Norton Geschichte nun weiter umgehst? Ich bin da unsicher, ich warte noch auf Antwort von Symantec.
Dieser Beitrag wurde am 24.10.2005 um 23:28 Uhr von Spooky_Boy editiert.
Seitenanfang Seitenende
25.10.2005, 10:49
Member

Themenstarter

Beiträge: 15
#23 Hallo Spooky Boy!
Im Moment habe ich Spybot-Search und Destroy permanent auf die Registryüberwachung geschaltet, damit jede Veränderung sofort gemeldet und genehmigt werden muss. Weiter habe ich den Systemstatus vor der NAV-Warnung, der in GoBack ja archiviert ist, gebrannt. Das ist meine Hand am Geländer. So kann ich zu einem späteren Zeitpunkt auf mein altes System zurück. GoBack ist zwar manchmal lästig, weil es im Hintergrund ständig arbeitet und natürlich auch an der Performance knabbert. Aber in dieser und auch schon anderen schwierigen Situationen hat es sich für mich sehr gut bewährt. Zusätzlich läuft der Processexplorer permanent in einem Fenster, damit ich sehen kann welche Dienste gerade im Einsatz sind und ob plötzlich ein neuer Prozess auftaucht. Registry-Einträge zur SVKP.sys habe ich stehen gelassen, die SVKP.sys befindet sich aber nicht mehr auf meinem Rechner. Da warte ich ab, was vielleicht irgendwann nicht mehr funktioniert. Dann gehe ich dieses neue Problem gezielt an. Alle wichtigen Einstellungen, Pw´s und Funktionen habe ich schon ewig in Kladde editiert (Word organisiert und ausgedruckt, dann File auf Disk), wie Du auch schon richtig empfohlen hast.
Eine Idee, die aber den Spielebesitzern nicht hilft, hatte ich auch. Eine andere normale Datei auf SVKP.sys umbenennen und indas WIN-Verz. stellen. Greift ein Prozess, eine Datei oder ein Dienst auf diese Datei als notwendige Signatur zu, glitscht er ab und ein Ereignis wird ausgelöst. Eventuell kommt sogar ein gezielter Hinweis aus der zugreifenden Software. Wie gesagt, es hilft nicht denen, die einem Spiel die SVKP.sys verdanken. Daher habe ich diese Idee auch nicht bekannt gemacht. Deine Hilfe war da bisher einfach besser. Wenn Symantec sich meldet, wäre ich dankbar das Ergebnis von Dir zu erfahren.
Gruß Klawuhn
Seitenanfang Seitenende
27.10.2005, 06:34
Member

Beiträge: 28
#24 Hallo Klawuhn,

Deine Idee ist gar nicht schlecht, finde die sogar super. Ich überlege, ob ich das mal mache. Würde man sicher etwas mehr erfahren, als nur von den Programmen, die sich melden.

Gibts bei dir irgend ne Änderung? Ich hab hier http://board.protecus.de/t19434-2.htm#202207 (27.10., 6.18 Uhr) weiter unten was zum LiveUpdate geschrieben, ist das bei dir auch so?

Gruss

P.S.:

Da ich nicht auf meinen eigenen Beitrag antworten kann, muss ichs hier als P.S. einfügen:

8.30 Uhr:

LAAACH, ca. 2 Stunden nach meinem Posting habe ich eine kleine sensationelle Neuigkeit:
Wie es der Zufall so will hat mir gerade vorhin LiveUpdate ein neues Update angeboten, was ich auch gemacht habe. Seitdem wird die SVKP.sys von Norton nicht mehr bemängelt, auch wenn ich sie direkt anklicke und scannen lasse.

Bitte um Rückmeldung bei wem das noch so ist.

JUHUUUUUUUUUUUUUUUUUUUUUUU

Gruss Spooky
Dieser Beitrag wurde am 27.10.2005 um 08:35 Uhr von Spooky_Boy editiert.
Seitenanfang Seitenende
27.10.2005, 12:23
Member

Themenstarter

Beiträge: 15
#25 Hallo Spooky_Boy!
Ich habe auch gerade in meiner NAV nachgeschaut. NAV hat eine neue Definition gesendet. Also kann ja jetzt wohl Entwarnung gegeben werden. Leider kann ich die Prüfung nicht nachvollziehen, da ich ja die SKVP.sys rausgeschmissen habe.
Bist Du in der Lage mir das File zukommen zu lassen? hjklawuhn@t-online.de. Das Erfolgserlebnis möchte ich mir doch nicht entgehen lassen.
Meine Massnahmen haben bis jetzt nichts greifbares ergeben. Brauchen sie aber jetzt ja auch nicht mehr.
Mit einem dreifachen JUHUUUUUUUU grüsst Klawuhn
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: