nvsvcd.exe smss.exe mscfg.dll - brauche noch immer hilfe

#16 Um die Diensteverwaltung explizit aufzurufen, geben Sie ein unter
Start - Ausführen: services.msc
Nun werden alle laufenden Dienste angezeigt.

Telnet--> wenn du es nicht benutzt.....
Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen. Unterstützt verschiedene TCP/IP-Telnetclients, einschließlich UNIX-basierten und Windows-basierten Computern. Wenn dieser Dienst angehalten wird, ist der Remotezugriff möglicherweise nicht mehr verfügbar. Wenn dieser Dienst deaktiviert wird, können alle Dienste, die explizit von diesem Dienst abhängen, nicht mehr gestartet werden.

Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)
http://virus-protect.org/windienst.html

-----------------------------------------------------------------------------

nun wuerde ich noch gerne das Log vom RootkitRevealer sehen (speichere es als txt-Datei und poste es als Anhang (siehe unten)
__________
MfG Sabina

rund um die PC-Sicherheit

#17 hi sabina, danke für die antwort, aber das ist der moment wo ich nix mehr verstehe. meinst du ich soll die dienste bei services.msc so einstellen, wie bei deinem link gezeigt?

habe die dienste aufgerufen und da steht bei telnet deaktiviert. meinst du das?

sorry, bin nur ein compibenutzer und kein kenner...

ich hoffe ich kann dir das log vom rkr posten, bis jetzt ist er immer abgestürtzt, als ich es versucht habe zu speichern. (schon das speicher-fenster ging nur unlesbar auf...) kümmere mich gleich morgen früh darum.

danke dir

lg h

#18 du solltest aus Sicherheitsgruenden das Telnet deaktivieren (das reicht...nichts weiter umstellen)

im Grunde bin ich fast sicher, dass wir es geschafft haben, aber dennoch wuerde ich gern den Revealer sehen, ich weiss, es sind ueber 6000 Eintraege, was ich eigenartig finde, dass man soviele "Rootkits" also..versteckte Dateien auf dem Rechner hat.
Versuche es noch mal, wenn es nicht klappt, dann lass es.
Und melde dich , falls der Rechner nicht will, wie du willst,,,,,,
__________
MfG Sabina

rund um die PC-Sicherheit

#19 hi sabina,

hab es jetzt noch zweimal mit dem rkr probiert, das ging aber nicht (es waren über 100000 (!!) einträge) seltsam. aber wie gesagt von anwendungen wie adobe und co. komisch. zu speichern ging das file auch nicht. da hängt sich das progr. auf. (kann ich verstehen, bei so vielen einträgen...) möglicherweise gibt es probleme wegen kaspersky-scannern, die verwendet angebl. escan. keine ahnung.

hab noch ein bissl gegoogelt weg. rootkits und da gäbe es noch das: w*w.f-secure.com/blacklight/ soll ichs probieren?

wennst noch lust hast, hätte ich noch drei fragen:

1., was empfiehlst du als virenschutz (auch für emails)? habe gelesen antivir. soll ich mir das holen? und den norton kübeln?

2., was soll ich damit machen? oder sollte das antivir auch handeln können?
File C:\WINDOWS\system32\ES_SETUP\a infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\ES_SETUP\s infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\ES_SETUP\l infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\ES_SETUP\y infected by "BkCln.Unknown" Virus! Action Taken: No Action Take

und zu guter letzt was mache ich mit der komischen dll datei von symantec, die mich hinderte die anderen virenprogramme laufen zu lassen? (s32evnt1.dll

ich danke dir und wünsche ein angenehmes wochenende. du bist super! und ein klasses forum. so.

lg h

#20 0.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\ES_SETUP\a
C:\WINDOWS\system32\ES_SETUP\s

------------------------------------------------------------------------------
1.
C:\WINDOWS\system32\ES_SETUP -> loeschen

2.
dann empfehle ich dir den avast! 4 Professional Edition
http://virus-protect.org/antivirshare.html
du kannst dich aber auch auf meiner Seite ueber andere trial-Scanner schlau machen, denn mit den Empfehlungen ist es so eine Sache...
den Symantec muesstest du dann natuerlich vorher komplett vom System entfernen.

Wegen den Eintraegen im Revealer mache dir keine Sorgen, es sind bestimmt Proggies, welche einfach nur "versteckt" sind.
Der PC ist wieder sauber ...hat ja auch viel Arbeit gemacht.
__________
MfG Sabina

rund um die PC-Sicherheit

#21 hi sabina,

hab jetzt noch mit der engine die files getestet: kam nix raus dabei, also keine viren gefunden. löschen ging nicht, auch mit der kill box nicht. das ist wieder einigermassen misteriös...

ach ja, der kühler meines laptops läuft jetzt recht viel, kann das von unseren aktionen her rühren? (ist aber nicht tragisch)

wieviel sinn machen diese aktionen jetzt noch:

Zitat

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

---------------------------------------------------------
wenn dann alles wieder sauber ist....

Systemwiederherstellung deaktivieren (dann wieder aktivieren)

puh, das wäre geschafft, du bist ein wahnsinn!

danke! und danke für die av-empfehlung. verwende jetzt mal zur überbrückung antivir 7.

lg h

#22 http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\ES_SETUP\a
C:\WINDOWS\system32\ES_SETUP\s
C:\WINDOWS\system32\ES_SETUP\l
C:\WINDOWS\system32\ES_SETUP\y

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
poste den report, der erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#23 hier das log!

lg h (und danke für meine unendliche geschichte...)

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lhhucbqy

*******************

Script file located at: \??\C:\WINDOWS\lfxetehn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\ES_SETUP\a not found!
Deletion of file C:\WINDOWS\system32\ES_SETUP\a failed!

Could not process line:
C:\WINDOWS\system32\ES_SETUP\a
Status: 0xc0000034



File C:\WINDOWS\system32\ES_SETUP\s not found!
Deletion of file C:\WINDOWS\system32\ES_SETUP\s failed!

Could not process line:
C:\WINDOWS\system32\ES_SETUP\s
Status: 0xc0000034



File C:\WINDOWS\system32\ES_SETUP\l not found!
Deletion of file C:\WINDOWS\system32\ES_SETUP\l failed!

Could not process line:
C:\WINDOWS\system32\ES_SETUP\l
Status: 0xc0000034



File C:\WINDOWS\system32\ES_SETUP\y not found!
Deletion of file C:\WINDOWS\system32\ES_SETUP\y failed!

Could not process line:
C:\WINDOWS\system32\ES_SETUP\y
Status: 0xc0000034



File C:\WINDOWS\system32\ES_SETUP\; not found!
Deletion of file C:\WINDOWS\system32\ES_SETUP\; failed!

Could not process line:
C:\WINDOWS\system32\ES_SETUP\;
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

#24 lass es so, wie es ist.
Wenn wieder Probleme auftreten sollten, melde dich, ich lasse den Thread offen
P.S: auf deine PM habe ich dir schon geantwortet.
__________
MfG Sabina

rund um die PC-Sicherheit

#25 hi sabina,

ein paar tage nach dem sturm kehrt ruhe ein. laptop scheint ohne probleme zu laufen. (*klopfe auf holz*) lediglich der lüfter läuft trotz leerlaufprozess viel öfter als früher. kann das mit dem malwareproblem zusammenhängen?

eine sache taucht allerdings noch auf: wegen beschädigter dateien soll ich chkdsk ausführen. (firefox hab ich neu installiert, jetzt ist anscheinend spybot.exe beschädigt) kann ich chkdsk ohne risiken ausführen? (fat32 ist meine dateisystem...glaub ich jedenfalls) oder stelle ich da wieder unerwünschte dateien her?

vielleicht schaust ja mal wieder hier vorbei, dann freu ich mich über eine antwort.

lg h

ps: nochwas: ohne dich, hätt ich das nicht geschafft! danke dir!

#26 spybot.exe beschädigt ->

1.
fixe mit dem HijackThis:
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

2.
deinstalliere Spybot und berichte, wie es dann laeuft.

3.
Start - Ausführen - schreib/kopiere rein:

sfc /scannow

nun wird Windows auf Fehler überprüft.
__________
MfG Sabina

rund um die PC-Sicherheit

#27 hi sabina,

danke dir, für die rasend schnelle antwort.

habe jetzt mal spybot deinstalliert und wieder neu inst., das scheint zu funktionieren.

mich wundert, wenn ich die temp dateien löschen möchte, dass folgender ordner C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\35L3A.tmp und noch zwei weitere ordner, sich nicht löschen lassen und angeblich 142 (!) GB gross sind... (so gross ist meine platte nicht). oben genannten ordner gibt er im chkdsk als fehlerhaft und nicht behebbar an.

chkdsk findet noch eine mozilla firefox datei "localstore.rdf", letztere könnte man reparieren. (mozilla ist aber neu drauf, und geht ohne probleme...)

habe mit scannow überprüft, und scheint i.o. zu sein.

chkdsk soll ich wohl lieber nicht ausführen, oder?

lg horst

#28 versuche es mit der Killbox:
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes"
reinkopieren:

C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\35L3A.tmp

PC neustarten

*welche zwei andere Ordner lassen sich nicht loeschen ??
__________
MfG Sabina

rund um die PC-Sicherheit

#29 hi sabina,

herzlichen dank für deine antworten, sorry, dass meine so zögerlich kommen, die arbeit hat mich vom pc gelockt. (war unterwegs)

leider lassen sich die ordner nicht löschen mit der kill box, antivir kann sie nicht testen wegen fehlerhafter syntax (wahrlich haben die seltsame dateinamen, allesamt symbole...)

also die temp ordner lauten alle drei:

C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\is-35L3A.tmp
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\is-A0G1L.tmp
C:\Dokumente und Einstellungen\horst\Lokale Einstellungen\Temp\is-UOIT5.tmp

(habe im oberen beitrag einen anderen dateinamen angegeben, in der killbox aber den richtigen pfad genannt.)

spybot funktioniert wieder. soll ich zur sicherheit ein neues hijack log und finddat logs posten?

lg und danke

horst

#30 ja, poste noch mal die datfindbat und HijackTHis und das stuff-Log
__________
MfG Sabina

rund um die PC-Sicherheit