Irgendwas blockt mein Anti Vir --Hilfe--

#1 Hallo alle miteinander.

Da ich gestern mal meinen Festrechner gesäubert hab (dank Raman dem alten Virenschreck ) hab ich mir überlegt mal meinen aptop online zu stellen und somit zu überprüfen.

Sofort wurde ich wieder rausgeschmissen, dank der alten Bekannten. Sowohl lovesan als auch blaster hatten sich bei mir eingenistet. Die bin ich glaub ich auch nu los. Hab dann schnell dat win update nachgeholt und meinen Norton2003 Virenscanner aktualisiert. Als das soweit fertich war gabs auch direkt ne Ansage von dem Vir Scanner. Und zwar waren 25 Dateien mit dem:

Spybot Virus

verseucht. Komischerweise kann ich aber nun mein Norton nicht weiter updaten. Obwohl da noch über 1 MB zu aktualisieren ist. Der lädt zwar runter jedoch hängt er sich dann bei der Installierung auf. Ist da vieleicht noch was anderes auf meiner Platte? Dat is mir allet nich ganz koscha

Kann mal jemand mein Log auswerten? Da is bestimmt noch was!

Vielen Dank im Vorraus!

Hier mien Log:

Logfile of HijackThis v1.97.7
Scan saved at 18:14:53, on 07.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\DownloadWare\dw.exe
C:\Programme\DelFin\PromulGate\PgMonitr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW3\ToDuCAlC.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
E:\Antivirus Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37626.1293402778
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D9EF4DB-3343-4210-93E9-2D3D53724F08}: NameServer = 212.185.248.148 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D9EF4DB-3343-4210-93E9-2D3D53724F08}: NameServer = 212.185.248.148 194.25.2.129

MfG Stormtrooper

#2 O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" fixen und nach Neustart diese Datei löschen:
C:\Programme\DelFin\PromulGate\PgMonitr.exe

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#3 Das sollte auch noch raus:

O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
__________
MfG Ralf
SEO-Spam Hunter

#4 Danke für die Hilfe arynsun. Leider klappt das NAV update immer noch nicht.
Da steht immer folgendes nachdem die Installation abgebrochen wurde:


Windows XP 5.1.2600 Service Pack 1

NAVNT 9.00

LiveUpdate konnte dieses Update nicht abschließen.

Bitte wenden Sie sich an die technische Unterstützung und geben Sie alle auf diesem Bildschirm angezeigten Informationen an.
Kontaktinformationen erhalten Sie im Menü "Hilfe ->Technische Unterstützung" Ihres Symantec-Produkts.

Für folgende Dateien konnte LiveUpdate kein Update durchführen:
-----------------------------------
File: C:\PROGRA~1\NORTON~1\AboutPlg.dl^
158552 Bytes 8/22/2003 20:44:44 v10.0.0.109.
File: C:\PROGRA~1\NORTON~1\ccIMScan.ex^
74896 Bytes 8/19/2003 21:25:56 v10.0.0.635.

Aber warum?? Versteh das nicht *heul*

#5 Also wenn du noch mit dem Spybot...-Virus infected bist, brauchts du prof. Hilfe,da mußt du in der Registrie stöbern,umschreiben,backupen und löschen.

Ist wohl aber machbar!
Vielleicht kann dir raman nochmal helfen,ich glaub der kann das!?

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#6 Danke trotzdem soweit!!

Wie sieht denn das jezze aus?? :



Logfile of HijackThis v1.97.7
Scan saved at 20:33:43, on 07.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW3\ToDuCAlC.EXE
C:\Programme\Internet Explorer\iexplore.exe
E:\Antivirus Programme\HiJackThis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\RunOnce: [NAVNTSeq] C:\DOKUME~1\UDOSCH~1\LOKALE~1\Temp\LUProdRg.exe /f:C:\DOKUME~1\UDOSCH~1\LOKALE~1\Temp\NAVNTL~1.INI /s:SPW_Set_Sequence
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37626.1293402778
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D9EF4DB-3343-4210-93E9-2D3D53724F08}: NameServer = 212.185.248.148 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D9EF4DB-3343-4210-93E9-2D3D53724F08}: NameServer = 212.185.248.148 194.25.2.129

#7 So schlimm ist es nicht, davon mal abgesehen, das man nicht weiss, was der alles schon gesendet hat. Er hat einen Keylogger eingebaut und kann via IRC abgefragt werden. Er kann auch bedingt als Backdoor benutzt werden.
Dein Norton koenntest du durch *komplettes* deinstallieren und neuinstallieren wieder zu laufen bringen. Man achte auf das "komplett", was bei Norton sehr schwierig ist.
__________
MfG Ralf
SEO-Spam Hunter

#8 Naja, ich werds mal versuchen. Vielen Dank Euch beiden. Bis die Tage dann, werd wohl nu öfters hier vorbeifliegen

Ciao

#9 Ja hatte ich vergessen, auf jedenfall deine Passwörter ändern,solange noch kein Schaden ist.(solange das Ding drauf ist,nützt es allerdings nichts)
Ich glaube allerdings das beste und sicherste ist wohl "platt machen"!
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)