Your Computer is infected

#31 Nee, ich meinte, ob durch das P2P zu solchen Angrifen kommen kann. Dass ich mir infizerte Files runterladen könnte, war mir klar.

RootkitRevealer:

C:\Dokumente und Einstellungen\Oliver Erens\Desktop\listen.bat 02.08.2006 23:43 565 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Oliver Erens\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\elw4y006.default\Cache\A3C8BE27d01 02.08.2006 23:50 18.58 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Oliver Erens\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\elw4y006.default\Cache\E3A40695d01 02.08.2006 23:50 67.99 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Oliver Erens\Recent\Eula.txt.lnk 02.08.2006 23:48 623 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Oliver Erens\Recent\Rootkit Revealer.lnk 02.08.2006 23:48 460 bytes Hidden from Windows API.
C:\Programme\Norton Internet Security\Norton AntiVirus\Savrt\0247NAV~.TMP 02.08.2006 23:49 0 bytes Hidden from Windows API.
C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP38\A0006774.ini 02.08.2006 23:29 0 bytes Hidden from Windows API.
C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP38\A0006775.ini 02.08.2006 23:29 160 bytes Hidden from Windows API.

#32 oliver4711

P2P-Software erlaubt Zugriff auf die von dir freigegebenen Ordner, mehr nicht.
dein PhotoShop, er funktioniert nicht mehr, wenn du ihn normal gekauft hast , installiere ihn neu. wenn er gecrackt war, dann haben die virenscanner wahrscheinlich den Teil, der ein Trojaner ist, rausgeloescht.
-------------------------------------------------------------------

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
gehe oben in der leiste vom Firefox in Extras -> Einstellungen -> leere das Cache

3.
Bitte nutze Gmer http://www.gmer.net/files.php . Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, wähle Copy und füge den Bericht ein.

4.
poste noch mal die 4 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Die Scanner-Erklärung klingt plausibel. Aber was ist mit der Scanner-Software, die auch autonom scannen kann, aber jetzt keine Datei anlegt?



GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-06 15:22:43
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT \SystemRoot\System32\Drivers\ShldDrv.SYS ZwEnumerateKey
SSDT \SystemRoot\System32\Drivers\ShldDrv.SYS ZwEnumerateValueKey

---- Devices - GMER 1.0.10 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [BA489810] ShldDrv.SYS
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [BA489BD8] ShldDrv.SYS

---- EOF - GMER 1.0.10 ----




GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-06 15:32:42
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT \SystemRoot\System32\Drivers\ShldDrv.SYS ZwCreateKey
SSDT \SystemRoot\System32\Drivers\ShldDrv.SYS ZwDeleteKey
SSDT \SystemRoot\System32\Drivers\ShldDrv.SYS ZwDeleteValueKey
SSDT \SystemRoot\System32\Drivers\ShldDrv.SYS ZwEnumerateKey
SSDT \SystemRoot\System32\Drivers\ShldDrv.SYS ZwEnumerateValueKey
SSDT \SystemRoot\System32\Drivers\ShldDrv.SYS ZwOpenKey
SSDT \SystemRoot\System32\Drivers\ShldDrv.SYS ZwQueryKey
SSDT \SystemRoot\System32\Drivers\ShldDrv.SYS ZwQueryValueKey
SSDT \SystemRoot\System32\Drivers\ShldDrv.SYS ZwSetValueKey
SSDT \??\C:\WINDOWS\system32\DRIVERS\PavProc.sys ZwTerminateProcess
SSDT \??\C:\WINDOWS\system32\DRIVERS\PavProc.sys ZwTerminateThread
SSDT \??\C:\WINDOWS\system32\PavSRK.sys ZwWriteVirtualMemory

---- Devices - GMER 1.0.10 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [BA489810] ShldDrv.SYS
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [BA489BD8] ShldDrv.SYS
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE [BA4897D2] ShldDrv.SYS
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_EA [BA489B9A] ShldDrv.SYS
Device \FileSystem\Fastfat \Fat IRP_MJ_CREATE [BA4897D2] ShldDrv.SYS
Device \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA [BA489B9A] ShldDrv.SYS
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DEVICE_CONTROL [A5E6F912] DLAIFS_M.SYS

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log
File C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}
File D:\System Volume Information\MountPointManagerRemoteDatabase
File D:\System Volume Information\tracking.log

---- EOF - GMER 1.0.10 ----




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F008-678F

Verzeichnis von C:\

06.08.2006 15:34 0 sys.txt
06.08.2006 15:34 9.682 system.txt
06.08.2006 15:34 1.459 systemtemp.txt
06.08.2006 15:34 105.207 system32.txt
06.08.2006 12:22 2.145.554.432 hiberfil.sys
06.08.2006 12:22 2.145.386.496 pagefile.sys
03.08.2006 18:24 885 rapport.txt
03.08.2006 18:14 3.518 smitfiles.txt
03.08.2006 18:05 5.218 avenger.txt
03.08.2006 07:09 11.655 files.txt
28.07.2006 22:11 33 ProgDVB.ini
28.07.2006 06:20 4.128 INFCACHE.1
27.07.2006 19:25 211 boot.ini
14.07.2006 16:40 5.457 dell.sdr
13.08.2004 13:54 0 IO.SYS
13.08.2004 13:54 0 CONFIG.SYS
13.08.2004 13:54 0 MSDOS.SYS
13.08.2004 13:54 0 AUTOEXEC.BAT
04.08.2004 15:00 4.952 bootfont.bin
04.08.2004 15:00 47.564 NTDETECT.COM
04.08.2004 15:00 251.184 ntldr
21 Datei(en) 4.291.392.081 Bytes
0 Verzeichnis(se), 172.135.051.264 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F008-678F

Verzeichnis von C:\WINDOWS

06.08.2006 15:21 250 gmer.ini
06.08.2006 15:21 528.446 gmer.dll
06.08.2006 15:09 968.033 setupapi.log
06.08.2006 12:24 898.515 WindowsUpdate.log
06.08.2006 12:24 187 wiadebug.log
06.08.2006 12:23 0 0.log
06.08.2006 12:23 50 wiaservc.log
06.08.2006 12:22 2.048 bootstat.dat
06.08.2006 12:21 32.594 SchedLgU.Txt
06.08.2006 09:56 116 NeroDigital.ini
05.08.2006 18:36 802 win.ini
04.08.2006 21:52 231 SYSTEM.INI
03.08.2006 20:56 2.552 Ssds32.ini
03.08.2006 18:23 2.020 setupact.log
03.08.2006 18:22 413.596 ntbtlog.txt
03.08.2006 07:07 7.651 WgaNotify.log
02.08.2006 21:29 1.038 eiryoger.txt
02.08.2006 00:59 2.208.822 ACD Wallpaper.bmp
01.08.2006 17:51 518 ODBC.INI
30.07.2006 21:56 12 dirsaver.ini
30.07.2006 21:55 1.059.330 Das Aquarium mit der Maus.scr
29.07.2006 20:32 374 nsw.log
29.07.2006 18:48 0 OpPrintServer.INI
28.07.2006 23:45 174.863 setuplog.txt
28.07.2006 18:07 614 avmcoins.log
28.07.2006 17:20 4.150 ModemLog_Conexant D850 56K V.9x DFVc Modem.txt
28.07.2006 07:21 2.904 mozver.dat
28.07.2006 06:31 0 WATCH.INI
28.07.2006 05:34 923 spupdsvc.log
27.07.2006 23:58 318.439 iis6.log
27.07.2006 23:58 91.188 comsetup.log
27.07.2006 23:58 54.446 ntdtcsetup.log
27.07.2006 23:58 1.374 imsins.log
27.07.2006 23:58 116.131 tsoc.log
27.07.2006 23:58 12.179 tabletoc.log
27.07.2006 23:58 13.398 ocmsn.log
27.07.2006 23:58 65.706 KB899587.log
27.07.2006 23:58 41.773 netfxocm.log
27.07.2006 23:58 17.155 MedCtrOC.log
27.07.2006 23:58 128.214 ocgen.log
27.07.2006 23:58 12.254 msgsocm.log
27.07.2006 23:58 254.042 FaxSetup.log
27.07.2006 23:58 84.640 msmqinst.log
27.07.2006 23:58 20.780 updspapi.log
27.07.2006 23:58 1.374 imsins.BAK
27.07.2006 23:58 63.991 KB885836.log
27.07.2006 23:58 44.724 KB917734.log
27.07.2006 23:58 17.579 wmsetup.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F008-678F

Verzeichnis von C:\DOKUME~1\OLIVER~1\LOKALE~1\Temp

06.08.2006 15:09 2.688 WcesView.log
06.08.2006 14:51 13.896 PSSysChk.log
06.08.2006 11:28 16.754 71c1_appcompat.txt
05.08.2006 23:48 0 lix78B.tmp
05.08.2006 23:47 0 whe78A.tmp
05.08.2006 17:46 1.097 TWAIN.LOG
05.08.2006 17:46 3 Twain001.Mtx
05.08.2006 17:46 156 Twunk001.MTX
05.08.2006 11:03 0 12a5B7.tmp
05.08.2006 11:02 0 sp75B6.tmp
05.08.2006 00:13 13.558 WscWlanScanner_2006-08-05.log
04.08.2006 00:13 16.754 c422_appcompat.txt
04.08.2006 00:13 11.911 PavLogInst
03.08.2006 20:56 7.711.898 Norton Internet Security 2006 8-3-2006 20h52m52s.log
03.08.2006 20:56 6.009 SYMEVENT.LOG
03.08.2006 20:56 4.114 SNDunin.log
03.08.2006 20:56 2.488 IDSinst.LOG
03.08.2006 20:54 1.685 CLTDIST.log
03.08.2006 20:53 124 AVRES_OPTRF_LiveUpdate.dat
03.08.2006 19:26 0 Twunk002.MTX
03.08.2006 19:25 46.080 ~e5d141.tmp
03.12.2002 01:33 107.512 set1AA.tmp
25.07.2002 18:07 346.602 IEC5C0.tmp
23 Datei(en) 8.303.329 Bytes
0 Verzeichnis(se), 172.135.051.264 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F008-678F

Verzeichnis von C:\WINDOWS\system32

06.08.2006 12:27 392.512 perfh007.dat
06.08.2006 12:27 64.452 perfc007.dat
06.08.2006 12:27 53.436 perfc009.dat
06.08.2006 12:27 381.692 perfh009.dat
06.08.2006 12:27 902.476 PerfStringBackup.INI
06.08.2006 12:23 2.206 wpa.dbl
06.08.2006 12:23 50.257 nvapps.xml
06.08.2006 09:08 1.542 RootkitReveal.txt
03.08.2006 23:17 0 asfiles.txt
03.08.2006 23:12 2.550 Uninstall.ico
03.08.2006 23:12 1.406 Help.ico
03.08.2006 23:12 30.590 pavas.ico
31.07.2006 16:38 70.176 Status.MPF
30.07.2006 21:54 837.224 Mausbildschirmschoner.scr
28.07.2006 17:19 158.752 FNTCACHE.DAT
28.07.2006 07:22 329.484 FOCUS-Online-Screensaver.scr
27.07.2006 23:52 3.350 KGyGaAvL.sys
27.07.2006 23:52 88 192FA9F5D7.sys
27.07.2006 23:29 73 LM_SUPPORT.INI
27.07.2006 19:25 403 $winnt$.inf
19.07.2006 01:14 4.276 divxsm.tlb
19.07.2006 01:14 520.192 DivXsm.exe
19.07.2006 01:14 10.863 dsm_ja.qm
19.07.2006 01:14 15.507 dsm_de.qm
19.07.2006 01:14 15.299 dsm_fr.qm
19.07.2006 01:13 3.596.288 qt-dx331.dll
19.07.2006 01:13 108.544 pxcpyi64.exe
19.07.2006 01:13 109.568 pxinsi64.exe
19.07.2006 01:13 1.044.480 libdivx.dll
19.07.2006 01:13 200.704 ssldivx.dll
19.07.2006 01:09 53.248 dpuGUI10.dll
19.07.2006 01:09 90.112 dpl100.dll
19.07.2006 01:09 593.920 dpuGUI11.dll
19.07.2006 01:09 200.704 dtu100.dll
19.07.2006 01:09 344.064 dpus11.dll
19.07.2006 01:09 57.344 dpv11.dll
19.07.2006 01:09 294.912 dpu10.dll
19.07.2006 01:09 294.912 dpu11.dll
19.07.2006 01:09 778.240 divx_xx07.dll
19.07.2006 01:09 778.240 divx_xx0c.dll
19.07.2006 01:09 761.856 divx_xx11.dll
19.07.2006 01:09 620.180 DivX.dll
19.07.2006 01:09 704.512 divxdec.ax
19.07.2006 01:09 352.401 DivXMedia.ax
19.07.2006 01:09 12.288 DivXWMPExtType.dll
19.07.2006 01:09 118.784 DivXCodecUpdateChecker.exe
19.07.2006 01:08 8.523 dpude.qm
19.07.2006 01:08 3.136 dtu_de.qm
14.07.2006 17:09 333 $ncsp$.inf
14.07.2006 16:51 3.099 jupdate-1.4.2_03-b02.log
14.07.2006 16:35 487 OEMINFO.INI
06.07.2006 18:21 6.757.792 MRT.exe
22.06.2006 12:47 181.248 rasmans.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:32 1.496.576 shdocvw.dll
24.05.2006 18:44 258.048 PavSHook.dll
19.05.2006 17:06 3.076.096 mshtml.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
16.05.2006 22:23 28.672 VXBLOCK.dll
16.05.2006 22:23 339.968 PxWave.dll
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 176.128 PxMas.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 430.080 Px.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 1.257.472 PxSFS.DLL
16.05.2006 22:23 450.560 pxdrv.dll
11.05.2006 02:58 104.448 xpsp3res.dll

#34 ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#35 ich musste zunächst das Blockieren von Scripts abschalten...

Die ganzen Symantec-Sachen könnten wir rauswerfen, denn ich nutze Panda...


The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Aug 6, 2006 18:54:16


===> Begin Service Listing <===

Unknown Service #1
Service Name: ccEvtMgr
Display Name: Symantec Event Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Event propagation and logging ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\symantec shared\ccevtmgr.exe"
State: Running
Process ID: 136
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #2
Service Name: ccPwdSvc
Display Name: Symantec Password Validation
Start Mode: Manual
Start Name: LocalSystem
Description: Symantec Password Validation ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\symantec shared\ccpwdsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #3
Service Name: ccSetMgr
Display Name: Symantec Settings Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Settings storage and management ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\symantec shared\ccsetmgr.exe"
State: Running
Process ID: 852
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 4
Service Name: IAANTMon
Display Name: Intel(R) Matrix Storage Event Monitor
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\intel\intel matrix storage manager\iaantmon.exe
State: Running
Process ID: 2156
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 5
Service Name: Kmixsrvvic
Display Name: Kmixsrvvic
Start Mode: Manual
Start Name:
Description: ...
Service Type: Share Process
Path:
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #6
Service Name: MDM
Display Name: Machine Debug Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Manages local and remote debugging for Visual Studio ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe"
State: Running
Process ID: 2188
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #7
Service Name: NetSvc
Display Name: Intel NCS NetService
Start Mode: Manual
Start Name: LocalSystem
Description: Unterstützt Intel(R) PROSet für verdrahtete ...
Service Type: Own Process
Path: c:\programme\intel\prosetwired\ncs\sync\netsvc.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 8
Service Name: Norton Ghost
Display Name: Norton Ghost
Start Mode: Disabled
Start Name: LocalSystem
Description: Verwaltungsservice zum Erstellen von Zeitplänen und ...
Service Type: Own Process
Path: c:\programme\norton ghost\agent\vprosvc.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: PAVFNSVR
Display Name: Panda Function Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\panda software\panda platinum 2006 internet security\pavfnsvr.exe"
State: Running
Process ID: 2516
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 10
Service Name: PavPrSrv
Display Name: Panda Process Protection Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\panda software\pavshld\pavprsrv.exe"
State: Running
Process ID: 2592
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 11
Service Name: PAVSRV
Display Name: Panda anti-virus service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\panda software\panda platinum 2006 internet security\pavsrv51.exe"
State: Running
Process ID: 1820
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 12
Service Name: pmshellsrv
Display Name: Panda Antispam Engine
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\panda software\panda platinum 2006 internet security\antispam\pskmssvc.exe
State: Running
Process ID: 2628
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 13
Service Name: PNMSRV
Display Name: Panda Network Manager
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\panda software\panda platinum 2006 internet security\firewall\pnmsrv.exe"
State: Running
Process ID: 1348
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 14
Service Name: PSIMSVC
Display Name: Panda IManager Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\panda software\panda platinum 2006 internet security\psimsvc.exe"
State: Running
Process ID: 2660
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #15
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{001eecc4-8f57-4a82-8be5-9e5a09bf1b9e}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #16
Service Name: Symantec Core LC
Display Name: Symantec Core LC
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec Core ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\symantec shared\ccpd-lc\symlcsvc.exe
State: Running
Process ID: 2924
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 17
Service Name: TPSrv
Display Name: Panda TPSrv
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\panda software\panda platinum 2006 internet security\tpsrv.exe"
State: Running
Process ID: 1472
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 18
Service Name: TUWinStylerThemeSvc
Display Name: TuneUp WinStyler Theme Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\tuneup utilities 2006\winstylerthemesvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 101 Win32 services on this machine.
18 were unrecognized.

Script Execution Time: 1,984375 seconds.

#36 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Kmixsrvvic

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#37 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 06.08.2006 20:16:29 for strings:
; 'kmixsrvvic'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Kmixsrvvic]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Kmixsrvvic\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Kmixsrvvic]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Kmixsrvvic\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kmixsrvvic]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kmixsrvvic\Security]

; End Of The Log...

#38 Avenger

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Kmixsrvvic
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Kmixsrvvic
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kmixsrvvic

poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#39 Zwischenbemerkung:
Photoshop ist sauber und inzw. de- und wieder neu installiert. Scannen klappt trotzdem nicht; PS schmiert ab. Die Scanner-Soft arbeitet ok, aber es wird keine Output-File erzeugt.

Würde denn der Win-Reparatur-Modus etwas für dieses Problem bringen?


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xpsxvbwq

*******************

Script file located at: \??\C:\WINDOWS\system32\mcgxpith.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Kmixsrvvic deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Kmixsrvvic not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Kmixsrvvic failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Kmixsrvvic
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kmixsrvvic not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kmixsrvvic failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kmixsrvvic
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

#40 erklaere mir mal genau, wann, wo, wieso der PC abschmiert.. was ist "Scanner-Soft"
dann, noch etwas, du hast zwei Virenscanner installiert, es kann sein, dass sie das System ueberlasten, deinstalliere einen von beiden.
__________
MfG Sabina

rund um die PC-Sicherheit

#41 Sorry, da habe ich mich wohl unklar ausgedrückt.

Der Mustek-Scanner installiert ein sog. "Bedienfeld" als eigene Software, damit kann man den Scanner steuern, entweder vom PC aus oder direkt am Scanner mittels Tasten. - Momentan funktioniert das zwar, aber es wird in beiden Fällen keine Datei mit dem Scan-Inhalt angelegt.

Wenn ich aus Photoshop heraus versuche zu scannen, so schmiert Photoshop ab und ist nicht mehr ansprechbar.

Der Rechner schmiert nicht ab!


Wg. des Mustek-Scanners hatte ich angeregt, den Win-Reparatur-Service auszuführen. - Wäre das was?

Zu den Virenscannern: Ich nutzte urspr. Norton Internet Security, allerdings wurde dort der Trojaner nicht erkannt. Bin daher - nach Deinstallation - auf Panda umgestiegen. Derzeit werden in "Systemsteuerung - Software" nur noch folg. Symantec-Produkte angezeigt: Norton Ghost (war auf dem Rechner vorinstalliert) und das dazugehörige LiveReg.

Mir ist unklar, wie ich die Symantec-Sachen jetzt wegkriege, denn offenbar sind sie ja noch da und aktiv(?).

#42 entschuldige meine Unwissenheit, was software betrifft.
Mustek-Scanner - was ist das ? ein Virenscanner ?

eine Reparatur von Windows hilft, wenn Windows korrupt ist...das scheint nicht der fall zu sein.............
------------------------------------------------------------------------

diese drei Dienste sind noch aktiv, du kannst sie deaktivieren.............

Start - Ausführen: services.msc

Nun werden alle laufenden Dienste angezeigt.
*Hier den Dienst "X" aussuchen.
*Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen.
*Nicht "Den Dienst beenden" auswählen, denn dann wird der Dienst "X" beim nächsten Systemstart erneut ausgeführt.
*Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen.
*Jetzt noch "Übernehmen" anklicken. Der " X" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Zitat

Unknown Service #1
Service Name: ccEvtMgr
Display Name: Symantec Event Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Event propagation and logging ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\symantec shared\ccevtmgr.exe"
State: Running
Process ID: 136
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #2
Service Name: ccPwdSvc
Display Name: Symantec Password Validation
Start Mode: Manual
Start Name: LocalSystem
Description: Symantec Password Validation ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\symantec shared\ccpwdsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #3
Service Name: ccSetMgr
Display Name: Symantec Settings Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Settings storage and management ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\symantec shared\ccsetmgr.exe"
State: Running
Process ID: 852
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

__________
MfG Sabina

rund um die PC-Sicherheit

#43 Okay, das habe ich gemacht.

Hier die Info zu dem Scanner: http://www.mustek.de/ger_/html/treiber/scanner_bearpaw.htm

Weil zwei DLLs in system32 fehlten lief er nach der Trojaner-Attacke nicht mehr. Meine Vermutung ist, dass dabei noch mehr verstellt wurde, deshalb der Vorschlag mit der Windows-Reparatur. - Wird dabei etwas wesentlich verstellt?

#44 du kannst diesen Scanner neu installieren und somit die zwei fehlenden dll ersetzen, es kann schon sein, dass ich sie mit habe loeschen lassen ,weil ich sie nicht zuordnen konnte unter all den Viren - falls es ansonsten keine Probleme mit dem System an sich gibt, brauchst du keine Reparaturinstallation durchzufuehren.
Wenn du irgendwann mal alles plattmachen willst und formatieren, nun, dem steht nichts im Wege.
Verbleiben wir also dabei, das System ist wieder einigermassen clean, pass auf , was du per P2P laedst, nicht alles , was glaenzt ist koscher....
Falls es Probleme geben sollte, melde dich wieder.
__________
MfG Sabina

rund um die PC-Sicherheit

#45 Nach Re-Installation des Scanners ist die beschriebene Problematik nach wie vor vorhanden. Offenbar werden diese DLLs nicht ersetzt.

Was kann ich sonst noch tun, um das Gerät wieder in Gang zu kriegen?