Norton Auto-Protect beendet sich plötzlich! Verbindung mit Trojaner?

#0
19.04.2006, 14:19
...neu hier

Beiträge: 3
#1 Ich habe mir vor einiger Zeit Internet Security gekauft und habe nun das Problem dass sich kurz nach PC Start die "Auto-Protect" Funktion selbstsändig deaktiviert, obwohl eingestellt ist, dass sie beim Systemstart aktiviert sein soll.
Gehe ich dann online, werde ich sofort von "Backdoor.Trojan" angefallen, was Antivirus auch brav erkennt und löscht. Trotzdem habe ich innerhalb weniger Sekunden, dutzende von Warnmeldungen auf dem Bild, dass die Emails die ich angeblich verschicken wollte, nicht geschickt werden können. Es werden also plötzlich ununterbrochen emails rausgeschickt.Mit dem Löschen meines Tempordners und der Deaktivierung der Systemwiederherstellung habe ich Letzteres wohl in den Griff bekommen, aber der Trojaner fällt mich immernoch an, nachdem sich Auto-Protekt immernoch ausschaltet.
Hat jemand schon ähnliche Erfahrungen gemacht? Was kann ich tun? Die Symantech Vorschläge zu dem Trojaner konnte ich nicht verstehen.
Bitte um Hilfe!
Seitenanfang Seitenende
19.04.2006, 14:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 July21st

dein PC ist verseucht, es gibt Viren, welche imstande sind, Firewall und Virenscanner zu beenden.
Ich tippe auf einen Mailwurm.

1.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.04.2006, 09:53
...neu hier

Themenstarter

Beiträge: 3
#3 Vielen dank, probier ich mal! hier der log file


Logfile of HijackThis v1.99.1
Scan saved at 09:57:28, on 24.04.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
F:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
F:\Programme\Mozilla Thunderbird\thunderbird.exe
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\DOKUME~1\Lunchbox\LOKALE~1\Temp\58exmodul32.exe
f:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Lunchbox\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - Default URLSearchHook is missing
F1 - win.ini: run= G:\GAMES\RA95\INSTICON.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O2 - BHO: (no name) - {4CB8455B-D319-EAD4-A22C-23122C3C402C} - (no file)
O2 - BHO: (no name) - {5FD260CC-B589-0058-5A1A-E588B80E3426} - (no file)
O2 - BHO: (no name) - {6D77EB9B-E45C-AC40-2FA5-24A2FA5092CC} - (no file)
O2 - BHO: (no name) - {86C88E91-2115-2122-B56B-8A5238F80155} - (no file)
O2 - BHO: (no name) - {EF0E2DA9-45A3-A38E-FA6A-8A14544A8BE4} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [shell32] C:\WINDOWS\System32\wuauclt10.exe
O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\System32\wudupdate.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log whining] C:\WINDOWS\System32\Blitzkrieg 2 crack.exe

O4 - HKLM\..\Run: [DAEMON Tools] "f:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [mfcyl.exe] C:\WINDOWS\mfcyl.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145452057046
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{003800FE-86CF-4EFF-9758-3AFF3AED1B47}: NameServer = 85.255.114.73,85.255.112.227
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A443F7E-EB2A-4B16-B0A4-5B2A72213BAB}: NameServer = 85.255.114.73 85.255.112.227
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3851C76-D60F-4EBF-8742-A2FC16DBF041}: NameServer = 85.255.114.73,85.255.112.227
O17 - HKLM\System\CCS\Services\Tcpip\..\{B29FC439-9780-4B69-ACF8-52652BB300B9}: NameServer = 85.255.114.73,85.255.112.227
O17 - HKLM\System\CS1\Services\Tcpip\..\{003800FE-86CF-4EFF-9758-3AFF3AED1B47}: NameServer = 85.255.114.73,85.255.112.227
O17 - HKLM\System\CS2\Services\Tcpip\..\{003800FE-86CF-4EFF-9758-3AFF3AED1B47}: NameServer = 85.255.114.73,85.255.112.227
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mfcan.exe (file missing)

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe


und dann:

Verzeichnis von C:\WINDOWS\system32

24.04.2006 09:34 26.477 nvapps.xml
23.04.2006 16:42 53.248 mscfg.dll
22.04.2006 21:28 2.184 wpa.dbl
19.04.2006 23:31 119.744 FNTCACHE.DAT
19.04.2006 21:24 123.392 itss.dll
19.04.2006 21:24 256.512 mstask.dll
19.04.2006 21:24 160.256 schedsvc.dll
19.04.2006 21:24 9.728 mstinit.exe
19.04.2006 21:24 48.640 browser.dll
19.04.2006 21:24 301.568 netapi32.dll
19.04.2006 17:14 100 LuResult.txt
18.04.2006 02:20 49.152 nvsvcd.exe

06.04.2006 12:48 5.143.456 MRT.exe
27.03.2006 12:24 39.992 perfc009.dat
27.03.2006 12:24 311.604 perfh009.dat
27.03.2006 12:24 48.156 perfc007.dat
27.03.2006 12:24 316.594 perfh007.dat
27.03.2006 12:24 723.744 PerfStringBackup.INI
14.02.2006 13:05 87.808 S32EVNT1.DLL
17.01.2006 14:30 0 aktqs.log
17.01.2006 05:33 13.581 lhaab.txt
06.01.2006 16:40 13.581 mezze.dat



2)
Verzeichnis von C:\DOKUME~1\Lunchbox\LOKALE~1\Temp

24.04.2006 09:58 512 ~DF74E1.tmp
24.04.2006 09:56 16.384 ~DFEA7D.tmp
24.04.2006 09:54 47.616 58exmodul32.exe
24.04.2006 09:47 512 ~DF9AD3.tmp
4 Datei(en) 65.024 Bytes
0 Verzeichnis(se), 1.160.794.112 Bytes frei

3)
Verzeichnis von C:\WINDOWS

24.04.2006 09:36 0 0.log
24.04.2006 09:34 2.048 bootstat.dat
23.04.2006 23:58 32.634 SchedLgU.Txt
23.04.2006 18:49 192 winamp.ini
23.04.2006 11:20 1.115.120 WindowsUpdate.log
19.04.2006 21:50 122.975 comsetup.log
19.04.2006 21:50 483.953 iis6.log
19.04.2006 21:50 74.119 ntdtcsetup.log
19.04.2006 21:50 162.293 tsoc.log
19.04.2006 21:50 1.374 imsins.log
19.04.2006 21:50 90.195 KB840315.log
19.04.2006 21:50 157.900 ocgen.log
19.04.2006 21:50 13.386 ocmsn.log
19.04.2006 21:50 17.014 msgsocm.log
19.04.2006 21:50 332.866 FaxSetup.log
19.04.2006 21:50 113.876 msmqinst.log
19.04.2006 21:50 60.249 Q319580.log
19.04.2006 21:50 17.437 dahotfix.log
19.04.2006 21:50 88.028 setupapi.log
19.04.2006 21:50 60.523 xpsp1hfm.log
19.04.2006 21:50 49.651 KB840374.log
19.04.2006 21:49 58.477 Q324096.log
19.04.2006 21:49 58.283 Q311967.log
19.04.2006 21:49 85.930 KB823182.log
19.04.2006 21:48 59.383 KB839645.log
19.04.2006 21:48 57.175 Q324380.log
19.04.2006 21:48 57.652 Q328940.log
19.04.2006 21:48 56.158 Q323172.log
19.04.2006 21:48 92.223 KB840987.log
19.04.2006 21:47 52.394 Q318138.log
19.04.2006 21:47 45.371 KB837001.log
19.04.2006 21:46 53.378 KB833987.log
19.04.2006 21:46 44.778 KB887822.log
19.04.2006 21:46 52.896 Q828026.log
19.04.2006 21:46 159.620 wmsetup.log
19.04.2006 21:45 82.628 KB873376.log
19.04.2006 21:45 84.200 KB841356.log
19.04.2006 21:45 48.372 Q309521.log
19.04.2006 21:44 76.112 KB824105.log
19.04.2006 21:42 82.046 KB841533.log
19.04.2006 21:41 47.384 Q313450.log
19.04.2006 21:40 47.769 Q317277.log
19.04.2006 21:39 47.446 Q315403.log
19.04.2006 21:37 47.224 Q311889.log
19.04.2006 21:36 74.728 KB825119.log
19.04.2006 21:30 46.249 Q326830.log
19.04.2006 21:30 82.697 KB841873.log
19.04.2006 16:25 28.413 svcpack.log
19.04.2006 15:33 22.973 KB834707-IE6-20040929.115007.log
19.04.2006 15:33 21.793 KB828741.log
19.04.2006 15:32 14.228 Q329834.log
19.04.2006 15:32 2.055 vminst.log
19.04.2006 15:32 42.170 KB823559.log
19.04.2006 15:31 41.571 Q817606.log
19.04.2006 15:31 40.990 Q815021.log
19.04.2006 15:30 40.431 Q329441.log
19.04.2006 15:30 36.879 Q810577.log
19.04.2006 15:30 33.047 Q811630.log
19.04.2006 15:29 29.782 Q329170.log
19.04.2006 15:28 1.553 Q329115.log
19.04.2006 15:28 1.193 Q329390.log
19.04.2006 15:28 641 Q323255.log
19.04.2006 15:28 585 Q329048.log
19.04.2006 15:13 5.243 KB842773.log
19.04.2006 15:13 150.358 setupact.log
19.04.2006 14:51 163.398 ntbtlog.txt
18.04.2006 13:18 0 setuperr.log
18.04.2006 12:44 1.409 QTFont.for
18.04.2006 12:44 54.156 QTFont.qfn
18.04.2006 02:28 1.096 GEARInstall.log
18.04.2006 01:20 516.159 DirectX.log
10.04.2006 20:46 3 Twain001.Mtx
18.03.2006 00:15 197.761 xgdra.dat
18.03.2006 00:15 4.544 MSOClip.232
18.03.2006 00:15 2.560 MKDEWE.TRN
18.03.2006 00:15 23.952 mozver.dat
18.03.2006 00:15 8.337 KB828035.log

31.01.2006 19:20 50 wiaservc.log
31.01.2006 19:20 216 wiadebug.log
23.01.2006 01:54 981 WIN.INI
19.01.2006 15:28 2.369 eReg.dat
17.01.2006 05:37 23.344 stub7.ini
17.01.2006 05:36 23.619 stub6.ini
17.01.2006 05:35 23.500 stub5.ini
17.01.2006 05:34 23.246 stub4.ini
17.01.2006 05:33 23.166 stub3.ini
17.01.2006 05:33 22.711 stub2.ini
17.01.2006 05:33 22.854 stub1.ini
15.01.2006 02:43 1.199 logs1.ini
11.01.2006 02:20 197.761 hcoeu.dat
10.01.2006 16:12 3.567 kekck.log

09.01.2006 13:14 0 vpd.properties
07.01.2006 19:17 262 nsw.log
07.01.2006 19:17 10.304 MSOPrefs.232

4)
Verzeichnis von C:\

24.04.2006 10:22 0 sys.txt
24.04.2006 10:22 9.450 system.txt
24.04.2006 10:21 446 systemtemp.txt
24.04.2006 10:13 101.263 system32.txt
24.04.2006 09:34 1.610.612.736 pagefile.sys
19.04.2006 17:20 100 LuResult.txt
03.03.2006 11:22 22.528 Hallo Nina.doc
Dieser Beitrag wurde am 24.04.2006 um 10:19 Uhr von July21st editiert.
Seitenanfang Seitenende
24.04.2006, 11:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 July21st

was haelst du vom Formatieren ? und nach dem Formatieren, wenn wieder alles sauber ist, gleich die WindowsUpdates zu machen...und auf P2P verzichten, da du anscheinend damit nicht umzugehen verstehst.
http://virus-protect.org/nachneuinst.html

Zitat

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log whining] C:\WINDOWS\System32\Blitzkrieg 2 crack.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.04.2006, 18:26
...neu hier

Themenstarter

Beiträge: 3
#5 Ist es wirklich so schlimm? Was bedeuten denn die jetzt rot markierten Zeilen? Ich würde schon gern wissen was das schief gelaufen ist, bzw was eigentlich los ist. Was hat das mit P2P zu tun? Fragen über Fragen....
Seitenanfang Seitenende
24.04.2006, 19:55
Moderator
Avatar joschi

Beiträge: 6466
#6 July21st, ich sehe das Hauptproblem darin, dass Du ein gänzlich ungepatchtes System am Netz hattest. Falls Du Dir darüber nicht im klaren bist: ein nicht gepatchtest Windows XP ist in allerhöchstem Maße anfällig für Würmer, Trojaner und sonstigen Unrat, den Du Dir ohne weiteres Zutun einfängst, einfach so....der PC muss lediglich mit dem Internet verbunden sein.

#Deswegen: => http://board.protecus.de/t13020.htm mal lesen und System neu aufsetzen.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: