Home » Viren, Trojaner & Malware Forum » Bedrohung durch "nscompat.tlb" und "amcompat.tlb" ? » Themenansicht
Bedrohung durch "nscompat.tlb" und "amcompat.tlb" ? |
||
|---|---|---|
| #0
| ||
|
10.06.2006, 18:13
Member
Beiträge: 223 |
||
 
|
|
|
|
10.06.2006, 18:44
Ehrenmitglied
 Beiträge: 29434 |
#2
Geodät
das ist Malware...in Kombination mit anderen Dateien... arbeite das bitte ab und poste die Logs. http://board.protecus.de/t23188.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.06.2006, 21:41
Member
Themenstarter Beiträge: 223 |
#3
Hier ist meine erste Info:
Logfile of HijackThis v1.99.1 Scan saved at 21:37:59, on 10.06.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\cisvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\Explorer.EXE C:\WINNT\SYSTEM32\3cmlink.exe C:\WINNT\SYSTEM32\3cshtdwn.exe C:\WINNT\SYSTEM32\3cmlink.exe C:\WINNT\system32\rundll32.exe C:\Dokumente und Einstellungen\Schink1\Eigene Dateien\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = - O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [3c1807pd] C:\WINNT\SYSTEM32\3cmlink.exe RunServices \Device\3cpipe-3c1807pd O4 - HKCU\..\Run: [Registry Optimierer] C:\Programme\Registry Optimierer\RegOptimierer.exe /d O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe Das weitere folgt ;-) Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 2C55-9AE4 Verzeichnis von c:\ 10.06.2006 21:42 0 dirdat.txt 10.06.2006 21:32 402.653.184 pagefile.sys 09.05.2006 00:03 704 Cert.cer 28.04.2006 17:27 26 mydirectory.txt 13.09.2004 18:22 0 aperf.txt 06.06.2004 10:19 25 csb.log 05.06.2004 15:18 191 boot.ini 05.06.2004 14:13 216.096 ntldr 27.05.2004 22:49 0 IO.SYS 11.10.2003 19:34 45 comp.bat 11.10.2003 19:34 45 decomp.bat 19.06.2003 12:05 163.840 arcsetup.exe 19.06.2003 12:05 150.528 arcldr.exe 30.12.2002 19:21 77.824 system_G.mdw 20.11.2002 18:48 10 BOOT.DOS 20.11.2002 18:47 256 AUTOEXEC.BAT 20.11.2002 18:47 79 MSDOS.SYS 20.11.2002 18:47 27 CONFIG.SYS 20.11.2002 18:25 3.531 upgrade.txt 24.07.2002 14:00 34.724 NTDETECT.COM 15.12.2001 16:07 7.642 SETUPXLG.TXT 21 Datei(en) 403.308.777 Bytes 0 Verzeichnis(se), 18.624.700.416 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 2C55-9AE4 zeichnung. Datentr„gernummer: 2C55-9AE4 Verzeichnis von C:\WINNT\system32 31.05.2006 18:41 16.384 Perflib_Perfdata_2c8.dat 10.05.2006 23:55 18.192 pgdfgsvc.exe 18.01.2006 16:57 1.409 tmp5ACA2.FOT 22.06.2005 23:44 100.352 dfrg.msc 26.05.2005 04:19 173.536 wuweb.dll 15.01.2005 20:35 1.409 tmp65D91.FOT 02.10.2004 14:56 1.409 tmpDFA7D.FOT 02.10.2004 12:34 1.409 tmpFAF36.FOT 26.08.2004 23:05 694 QuickTime.qtp 14.08.2004 23:20 23.392 nscompat.tlb 14.08.2004 23:20 16.832 amcompat.tlb 14.08.2004 23:18 2.171 spupdsvc.log 14.08.2004 23:18 287 spupdw2k.log 13.08.2004 22:34 41 AuxDrv32_d.dlx 13.08.2004 22:34 41 SndDrv32_d.dlx 24.07.2004 19:19 9.872 printmon.PNF 23.07.2004 12:02 112.584 FNTCACHE.DAT 27.06.2004 18:48 4.656 OODBS.lor 21.06.2004 18:41 5 AuxDrv32_g.dlx 21.06.2004 18:41 5 SndDrv32_g.dlx 05.06.2004 13:52 300.378 perfh009.dat 05.06.2004 13:52 289.156 perfh007.dat 05.06.2004 13:52 38.036 perfc009.dat 05.06.2004 13:52 46.232 perfc007.dat 05.06.2004 13:52 663.264 PerfStringBackup.INI 05.06.2004 13:52 21.817 folder.htt 05.06.2004 13:52 271 desktop.ini 05.06.2004 13:51 525 mapisvc.inf 05.06.2004 13:40 302 $winnt$.inf 16.05.2004 18:48 2.266 qtplugin.log 16.05.2004 18:47 28.672 qttask.exe 05.04.2004 17:35 41 SndDrv32b.ini Verzeichnis von C:\WINNT 10.06.2006 21:38 5.728 ModemLog_U.S. Robotics 56K Voice Win Int.txt 08.06.2006 18:31 1.202.272 ShellIconCache 31.05.2006 19:14 10.202 Windows Update.log 07.05.2006 07:12 273 system.ini 22.04.2006 22:10 3.846 WindowsUpdate.log 10.04.2006 18:46 1.028 ODBC.INI 07.04.2006 19:21 223.534 SIGVERIF.TXT 13.11.2005 14:11 8.829 clear.log 31.07.2005 17:30 2.855 msxmidi.PIF 29.07.2005 22:02 0 Sti_Trace.log 05.07.2005 23:12 0 setuperr.log 05.07.2005 23:12 0 setupact.log 27.06.2005 22:39 2.405 _default.pif 01.08.2004 22:14 51.472 notepad.exe 27.06.2004 18:46 109 oodcnt.INI 19.06.2004 16:51 489 win.ini 05.06.2004 13:52 4.073 ODBCINST.INI 05.06.2004 13:52 271 desktop.ini 05.06.2004 13:52 21.817 folder.htt 08.02.2004 12:25 86 USRWIZ.INI 07.11.2003 21:32 190 xpsysettings 23.07.2003 18:19 56.832 SOUNDMAN.EXE 19.06.2003 12:05 245.008 explorer.exe 19.06.2003 12:05 24.074 winnt.bmp 19.06.2003 12:05 196.880 winrep.exe 19.06.2003 12:05 10.752 hh.exe 19.06.2003 12:05 76.560 regedit.exe 19.06.2003 12:05 274.704 winhlp32.exe 03.03.2003 16:25 34.304 ieuninst.exe 28.02.2003 17:35 6.550 jautoexp.dat 01.01.2003 04:18 59 vbaddin.ini 01.01.2003 01:21 0 control.ini 01.01.2003 01:18 36 vb.ini Verzeichnis von C:\DOKUME~1\Schink1\LOKALE~1\Temp 10.06.2006 18:25 32.768 ~DFD7EC.tmp 10.06.2006 15:23 32.768 ~DFED8D.tmp 09.06.2006 07:08 32.768 ~DFF07D.tmp 08.06.2006 18:31 32.768 ~DF3C24.tmp 4 Datei(en) 131.072 Bytes 0 Verzeichnis(se), 18.624.450.560 Bytes frei Sind diese Daten ausreichend ? Danke für einen Rat schon jetzt. Wolf __________ Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270 Dieser Beitrag wurde am 10.06.2006 um 22:02 Uhr von Geodät editiert.
|
|
|
|
|
|
|
10.06.2006, 22:03
Ehrenmitglied
Beiträge: 29434 |
#4
Geodät
scanne mit ewido und kopiere hier den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.06.2006, 06:59
Member
Themenstarter Beiträge: 223 |
#5
Durch einen hier bekannten Fehler der Festplatte wird der Scan nach einer bestimmten Zeit leider abgebrochen.
Ist denn losgelöst von dem Ergebnis eine Beurteilung der beiden o.g. Dateien hinsichtlich ihrer "Bedrohung" mit den zur Verfügung gestellten Logs des Rechner hier (HJT und DatFindBat) möglich? Vielen Dank ! __________ Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270 |
|
|
|
|
|
|
11.06.2006, 14:14
Ehrenmitglied
Beiträge: 29434 |
#6
ich kann keine Viren finden....
öffne das HijackThis -- Button "scan" -- Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blankPC neustarten ein Virenscanner waere angebracht.... http://virus-protect.org/antivirus.html berichte vom scan  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.06.2006, 16:35
Member
Themenstarter Beiträge: 223 |
#7
nscompat.tlb und amcompat.tlb können danach auf dem Rechner bleiben?
__________ Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270 |
|
|
|
|
|
|
11.06.2006, 16:44
Ehrenmitglied
Beiträge: 29434 |
#8
arbeite das ab:
http://virus-protect.org/artikel/tools/smitfrautfix.html smitfraudfix wird es loeschen, wenn es als Malware erkannt wird __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.06.2006, 17:30
Member
Themenstarter Beiträge: 223 |
#9
Kann ich die Datei "smitfraudfix.cmd" auch hier im Netz finden, die ohne ein vorheriges
Entpacken nutzbar ist ? __________ Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270 |
|
|
|
|
|
|
11.06.2006, 18:33
Ehrenmitglied
Beiträge: 29434 |
#10
( falls kein zip-Tool vorhanden ist: http://www.paehl.de/german.php
ohne entpacken..ich weiss nicht, ob man das tool so finden kann. ich denke ..nein, denn es wird staendig aktualisiert. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.06.2006, 06:53
Member
Themenstarter Beiträge: 223 |
#11
Am 14.8.2004 wurden die beiden Dateien verändert. Zwei Minuten vor
dieser Änderung wurden log-Dateien erstellt oder verändert(siehe Ergebnis Nutzung DatFindBat). Von diesen füge ich den Inhalt bei: SpUpdServiceStart: entered: 2033582839 SpUpdServiceStart: starting.. [IsRebootedAfterServiceInstall] InstallTime: 0x1c48243 fcc57dfc, BootTime: 0x1c48244 234f40c0 [PerformInfInstructions] Running - C:\WINNT\system32\secedit.exe /configure /cfg C:\WINNT\inf\spsecupd.inf /db C:\WINNT\security\templates\spsecupd.sdb /log C:\WINNT\security\logs\spsecupd.log ... [RunProcess] called with C:\WINNT\system32\secedit.exe /configure /cfg C:\WINNT\inf\spsecupd.inf /db C:\WINNT\security\templates\spsecupd.sdb /log C:\WINNT\security\logs\spsecupd.log [IsPointsToExecutable] called with C:\WINNT\system32\secedit.exe /configure /cfg C:\WINNT\inf\spsecupd.inf /db C:\WINNT\security\templates\spsecupd.sdb /log C:\WINNT\security\logs\spsecupd.log [IsPointsToExecutable] checking for the presence of C:\WINNT\system32\secedit.exe [IsPointsToExecutable] C:\WINNT\system32\secedit.exe exists in C:\WINNT\system32 [RunProcess] calling CreateProcess for C:\WINNT\system32\secedit.exe /configure /cfg C:\WINNT\inf\spsecupd.inf /db C:\WINNT\security\templates\spsecupd.sdb /log C:\WINNT\security\logs\spsecupd.log [RunProcess] CreateProcess Succeeded [RunProcess] Process spawned returned error. Process: C:\WINNT\system32\secedit.exe /configure /cfg C:\WINNT\inf\spsecupd.inf /db C:\WINNT\security\templates\spsecupd.sdb /log C:\WINNT\security\logs\spsecupd.log, Exitcode: 0x3 [PerformInfInstructions] Done. Return code: 0 [PerformInfInstructions] Running - C:\WINNT\system32\spupdw2k.exe ... [RunProcess] called with C:\WINNT\system32\spupdw2k.exe [IsPointsToExecutable] called with C:\WINNT\system32\spupdw2k.exe [IsPointsToExecutable] checking for the presence of C:\WINNT\system32\spupdw2k.exe [IsPointsToExecutable] C:\WINNT\system32\spupdw2k.exe exists in C:\WINNT\system32 [RunProcess] calling CreateProcess for C:\WINNT\system32\spupdw2k.exe [RunProcess] CreateProcess Succeeded [PerformInfInstructions] Done. Return code: 0 [ProcessPostBootInf] Deleted C:\WINNT\system32\spupdsvc.inf at the end of ProcessPostBootInf [SpUpdServiceStart] Deleted Service, job done. Returning the Main Thread [SpUpdServiceStart] setting service to stopped Was ist hier verändert worden ? Gibt es eine Beziehung zu den Änderung der beiden Dateien nscompat.tlb und amcompat.tlb zwei Minuten später ? Viele Grüsse "Geodät" P.S. Hier ist noch der Inhalt der Datei spupdw2k.log: [pBrowseCallback] Privilege secreateglobalprivilege exists.. request retry of cleanup. [pBrowseCallback] Privilege seimpersonateprivilege exists.. request retry of cleanup. Policies already exist for. Policies already exist for. No valid Privileges to be added, nothing to update Hier noch ein Link: http://www.f-secure.com/v-descs/aureate.shtml __________ Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270 Dieser Beitrag wurde am 12.06.2006 um 07:14 Uhr von Geodät editiert.
|
|
|
|
|
|
|
12.06.2006, 13:14
Ehrenmitglied
Beiträge: 29434 |
#12
lasse es, wie es ist, ich denke, dass die dateien von 2004 nicht "boese" sind.
14.08.2004 23:20 23.392 nscompat.tlb 14.08.2004 23:20 16.832 amcompat.tlb du kannst sie auch ueberpruefen lassen: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINNT\system32\nscompat.tlb C:\WINNT\system32\amcompat.tlb __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.06.2006, 19:22
Member
Themenstarter Beiträge: 223 |
#13
Danke für die Mühe (und Geduld).
__________ Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270 |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
auf meinem Rechner finde ich die beiden Dateien "nscompat.tlb" und
"amcompat.tlb".
Nach den Aussagen in einigen Foren stammen sie von einem Virus, sind
"Malware" und sollen gelöscht werden.
Ist das zutreffend ?
Wolf
__________
Windows 7 Professional SP 1 -- FRITZ!Box Fon WLAN 7270