W32/Rbot-PJ / Spyware-Wurm??

#0
02.01.2007, 14:40
Moderator
Themenstarter

Beiträge: 5694
#16 Was könnte passieren?? Das der MSN nicht mehr funktioniert?? Was wäre wenn ich neu installiere?
Seitenanfang Seitenende
02.01.2007, 14:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 du willst es also riskieren ??
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 14:42
Moderator
Themenstarter

Beiträge: 5694
#18 Was könnte im schlimmsten Fall passieren?? Und wenn ich vorher eine Systemwiederherstellung mache??

Was würdest du empfehlen?
Seitenanfang Seitenende
02.01.2007, 14:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 ««
setze einen Systemwiederherstellungspunkt fuer heute

««
bevor wir in der registry rumstellen:

««
Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, Messenger Sharing USN Journal Reader-Service (usnsvc)

««
dann fixe mit hijackThis
O23 - Service: Messenger Sharing USN Journal Reader-Service (usnsvc) - Unknown owner - C:\Programme\MSN.exe (file missing)

PC neustarten

»»
berichte, ob der eintrag aus dem hijackThis raus ist
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 14:57
Moderator
Themenstarter

Beiträge: 5694
#20 Mit Messenger Sharing USN Journal Reader-Service kommt eine Fehlrmeldung..

Es heisst dieser angegeben Dienst wurde in der Registry nicht gefunden?!?

Aber wie ich nun gelesen habe ist dieses Programm zum Ordner freigeben im MSN.... Das ist offiziel zum Datenaustausch.. Ich kann für Kolllegen Ordner ertsellen auf meinem PC welche die ausgewählten Personen anschuane können...?!?
Seitenanfang Seitenende
02.01.2007, 15:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 ja, es ist ein neuer service, allerdings scheint das ein Virenersteller auch mitbekommen zu haben, das problem dieser Viren ist, dass sie den Eintraegen nach fast genauso wie die regulaeren Dienste erscheinen , oftmals nennen sie sich windows oder microsoft, um das finden und loeschen zu erschweren

kannst du den 023-Eintrag mit hijackThis fixen ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 15:06
Moderator
Themenstarter

Beiträge: 5694
#22 Habe ich schon getestet aber er kommt immer wieder.. Muss leider schnell weg , komme später wieder.. Hoffe es gibt eine Lösung. Also muss nicht tatsächlich ein Backdoor auf meinem PC sein??
Seitenanfang Seitenende
02.01.2007, 15:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 http://virus-protect.org/artikel/tools/icesword.html
kopiere ab, was du unter Windows-Services findest
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 16:33
Moderator
Themenstarter

Beiträge: 5694
#24 Ich kann das nicht abkopieren??? Gibt er hier einen Trick?
Dieser Beitrag wurde am 02.01.2007 um 16:38 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
02.01.2007, 17:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 oben auf Log klicken und als txt-Datei abspeichern ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 17:21
Moderator
Themenstarter

Beiträge: 5694
#26 Ach so :-) Danke Dir


Hier das LogFile.

Started Service:

Service Name:ALG Display Name:Gatewaydienst auf Anwendungsebene
Service Name:Ati HotKey Poller Display Name:Ati HotKey Poller
Service Name:AudioSrv Display Name:Windows Audio
Service Name:Browser Display Name:Computerbrowser
Service Name:CryptSvc Display Name:Kryptografiedienste
Service Name;)comLaunch Display Name;)COM-Server-Prozessstart
Service Name;)hcp Display Name;)HCP-Client
Service Name:dmserver Display Name:Verwaltung logischer Datenträger
Service Name;)nscache Display Name;)NS-Client
Service Name:Eventlog Display Name:Ereignisprotokoll
Service Name:EventSystem Display Name:COM+-Ereignissystem
Service Name:FastUserSwitchingCompatibility Display Name:Kompatibilität für schnelle Benutzerumschaltung
Service Name:helpsvc Display Name:Hilfe und Support
Service Name:lanmanserver Display Name:Server
Service Name:lanmanworkstation Display Name:Arbeitsstationsdienst
Service Name:LmHosts Display Name:TCP/IP-NetBIOS-Hilfsprogramm
Service Name:Netman Display Name:Netzwerkverbindungen
Service Name:Nla Display Name:NLA (Network Location Awareness)
Service Name:pAVFNSVR Display Name:panda Function Service
Service Name:pavPrSrv Display Name:panda Process Protection Service
Service Name:pAVSRV Display Name:panda anti-virus service
Service Name:plugPlay Display Name:plug & Play
Service Name:pmshellsrv Display Name:panda Antispam Engine
Service Name:pNMSRV Display Name:panda Network Manager
Service Name:policyAgent Display Name:IPSEC-Dienste
Service Name:protectedStorage Display Name:Geschützter Speicher
Service Name:pSIMSVC Display Name:panda IManager Service
Service Name:RasAuto Display Name:Verwaltung für automatische RAS-Verbindung
Service Name:RasMan Display Name:RAS-Verbindungsverwaltung
Service Name:RemoteRegistry Display Name:Remote-Registrierung
Service Name:RpcSs Display Name:Remoteprozeduraufruf (RPC)
Service Name:SamSs Display Name:Sicherheitskontenverwaltung
Service Name:Schedule Display Name:Taskplaner
Service Name:seclogon Display Name:Sekundäre Anmeldung
Service Name:SENS Display Name:Systemereignisbenachrichtigung
Service Name:SharedAccess Display Name:Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Service Name:ShellHWDetection Display Name:Shellhardwareerkennung
Service Name:Spooler Display Name;)ruckwarteschlange
Service Name:srservice Display Name:Systemwiederherstellungsdienst
Service Name:stisvc Display Name:Windows-Bilderfassung (WIA)
Service Name:TapiSrv Display Name:Telefonie
Service Name:TermService Display Name:Terminaldienste
Service Name:Themes Display Name;)esigns
Service Name:TPSrv Display Name:panda TPSrv
Service Name:TrkWks Display Name:Überwachung verteilter Verknüpfungen (Client)
Service Name:WebClient Display Name:WebClient
Service Name:WinDefend Display Name:Windows Defender
Service Name:winmgmt Display Name:Windows-Verwaltungsinstrumentation
Service Name:wuauserv Display Name:Automatische Updates
Service Name:WZCSVC Display Name:Konfigurationsfreie drahtlose Verbindung
Seitenanfang Seitenende
02.01.2007, 18:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 klicke dich durch alle anderen funktionen durch und berichte, wenn ein Eintrag rot gekennzeichnet ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 19:11
Moderator
Themenstarter

Beiträge: 5694
#28 Unter SSDT hat es einige rote Einträge, diese Liste kann ich jedoch nicht logen mit Log.

Alle haben folgenden Titel:

\systemroot\system32\drivers\ShldDrv.sys NTOpenKey
\systemroot\system32\drivers\ShldDrv.sys NtQueryKey


Oder es steht:

??\C:\Windows\system32\drivers\PavProc.sys NtTerminateProcess
??\C:\Windows\system32\drivers\PavProc.sys NtTerminateThread



Die current Addr ist einfach anders bei allen.



Oder kann ich diese Liste auch kopieren??


Bei Log Process/Thread Creation hat es ebenfalls rote, blaue und grüne Einträge..
Seitenanfang Seitenende
02.01.2007, 20:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 lasse alles, wie es ist, den dienst ist ja nicht mehr aktiv
besser so, als den Messi zerschiessen. - ich kann nicht zuordnen, was korrekt ist und was nicht ;)
http://www.siteadvisor.be/sites/ansearch.com.au/downloads/1493717/
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 21:33
Moderator
Themenstarter

Beiträge: 5694
#30 Dann denkst du am besten ich sollte es so lassen?

Was willst du mir mit dem Link sagen?

Danke dennoch für deine Bemühungen.
Seitenanfang Seitenende