Wrom\nachib.1 Svchost.exe\wkspatca(1)exe

#1 hallo,

ich habe die suchfunktion benutzt, es war was dabei aber ich habe komische Phänomene im Computer oder im System was auch immer.
Habe in den letzten 4Tagen 5 mal Format C: gemacht.Alles neu aufgespielt mit dem ganzen Patchs und so weiter.
Mein system will nicht, es war auch einer von Arcor da,hat die Leitung durch gescheckt alles in Ordnung.
Nun zu mein Problem ich habe eine Internet verbindung aufgebaut Rechts unten ist das symbol auch zu sehen dann öffne ich mein AvantBrowser und es sind keine seiten da oder keine verbindung muss mich noch mal einloggen.
Dann kann ich mich nicht ausloggen muss system runter fahren und wieder hoch fahren.
Dann hat Antivir mal nach langer Zeit die Meldung (Drivers\SVCHOST.EXE)gemeldet und die meldungWKSPATCA(1)EXE aber der Ordner exestiert nicht in Windows\system32\config\........
Nach Antivir die gefunden hat bin ich so vorgegangen
1. Systemwiederherstellung Deaktiviert
2. In abgesicherten Modu hochgefahren die Zwei Datein gelöcht von dem ordner Infected.
3.Meine temporäre Dateien gelöcht und wieder hoch gefahren.
Wie es aus sieht ist immer noch ein fehler, Antvir findet nichts.
Ich spiele gerne Online Log mich wieder ein, versuche zu spielen es klappt mal,das ein fussball spiel zu stande kommt dann wieder der Abbruch,der Abbruch kommt von mir weil es ja an meine bewertung geht.
Wenn der Abbruch passiert ist habe ich auch kein internet zugang das heisst mein symbol ist aktiv unten rechts im Windows aber es ist keine verbindung da ich kann mich auch nicht trennen muss wieder Runte und Hoch fahren.
Ich komme nicht mehr weiter ein Hardware fehler schliess ich aus oder???
Was kann ich noch machen.
Ich benutzte Win XP SP1 hab schon überlegt ob ich auf Win2000 umsteigen soll.

thx.
freue mich auf jede Hilllffee!!!

#2 Willkommen zubZero

Erstmal ein paar Fragen
1. Wie machts du Format c: ?
2. Kopierts du gesicherte Dateien danach wieder ins System ?
3. Wie spielst du die Patches auf ?

Ich würde so vorgehen

Virenscanner updaten.
HiJackThis downloaden und logfile hier posten http://hjt.klaffke.de

in der Zwischenzeit
Im abgesicherten Modus starten. http://www.bsi.de/av/texte/winsave.htm Virenscanner durchlaufen lassen.
Solange scannen, bis wirklich allen Meldungen weg sind. Kannst das logfile des Scaners ja hier posten. Bitte mit Angabe des Virenscanners.

Solange schau ich mir, dein Logfile an.

Gruß paff

P.S.
Deinen Text oben, kann man kaum lesen. Bitte ein paar Satzzeichen und Absätze. Dann bekommst Du auch mehr Antworten
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 hallo,

Logfile of HijackThis v1.97.7
Scan saved at 16:02:19, on 05.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\Neuer Ordner\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off
O4 - HKLM\..\Run: [AVPCC] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [AutoStart-Manager] D:\Programme\LAB1.DE\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38050.6900231481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

format c:

ich kopiere keine gesicherten Dateien in system.
Installiere alles neu Programme Datein Musik habe ich auf einer anderen Platte.

Patche Intalliere ich auf mein nackisches Windows,nicht Online.......
Die ich mir damals seperat runter geladen habe.





hallo,

das hatte ich gestern.

04.03.2004,23:30 [WARNUNG] Enthält Signatur des Wurmes Worm/Nachi.B.1!
C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!


04.03.2004,23:47 [WARNUNG] Enthält Signatur des Wurmes Worm/Nachi.B.1!
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\RJBUMJ63\WKSPATCH[1].EXE

Heut

5.03.2004,00:09 Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.03.2004,00:09 Start Filter Device.
05.03.2004,00:09 AntiVirService Version: 6.24.00.01 AVE Version 6.24.0.6 VDF Version: 6.24.0.39
05.03.2004,00:09 Der AVGuard Dienst wurde erfolgreich gestartet!
05.03.2004,00:15 Stop Filter Device.
05.03.2004,00:15 Der AVGuard Dienst wurde beendet!
05.03.2004,00:26 Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.03.2004,00:26 Start Filter Device.
05.03.2004,00:26 AntiVirService Version: 6.24.00.01 AVE Version 6.24.0.6 VDF Version: 6.24.0.39
05.03.2004,00:26 Der AVGuard Dienst wurde erfolgreich gestartet!
05.03.2004,01:04 Stop Filter Device.
05.03.2004,01:04 Der AVGuard Dienst wurde beendet!
05.03.2004,01:06 Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.03.2004,01:06 Start Filter Device.
05.03.2004,01:06 AntiVirService Version: 6.24.00.01 AVE Version 6.24.0.6 VDF Version: 6.24.0.39
05.03.2004,01:06 Der AVGuard Dienst wurde erfolgreich gestartet!
05.03.2004,01:34 Stop Filter Device.
05.03.2004,01:34 Der AVGuard Dienst wurde beendet!
05.03.2004,01:36 Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.03.2004,01:36 Start Filter Device.
05.03.2004,01:36 AntiVirService Version: 6.24.00.01 AVE Version 6.24.0.6 VDF Version: 6.24.0.39
05.03.2004,01:36 Der AVGuard Dienst wurde erfolgreich gestartet!
05.03.2004,02:03 Stop Filter Device.
05.03.2004,02:03 Der AVGuard Dienst wurde beendet!
05.03.2004,02:05 Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.03.2004,02:05 Start Filter Device.
05.03.2004,02:05 AntiVirService Version: 6.24.00.01 AVE Version 6.24.0.6 VDF Version: 6.24.0.39
05.03.2004,02:05 Der AVGuard Dienst wurde erfolgreich gestartet!
05.03.2004,02:36 Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.03.2004,02:36 Start Filter Device.
05.03.2004,02:36 AntiVirService Version: 6.24.00.01 AVE Version 6.24.0.6 VDF Version: 6.24.0.39
05.03.2004,02:36 Der AVGuard Dienst wurde erfolgreich gestartet!
05.03.2004,02:42 Stop Filter Device.
05.03.2004,02:42 Der AVGuard Dienst wurde beendet!
05.03.2004,14:03 Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
05.03.2004,14:03 Start Filter Device.
05.03.2004,14:03 AntiVirService Version: 6.24.00.01 AVE Version 6.24.0.6 VDF Version: 6.24.0.39
05.03.2004,14:03 Der AVGuard Dienst wurde erfolgreich gestartet!





tart des Suchlaufs: 05.03.2004 16:21

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1 OK
Bootsektor von Laufwerk C: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Ende des Suchlaufs: 05.03.2004 16:26
Benötigte Zeit: 05:05 min


1007 Verzeichnisse wurden durchsucht
24932 Dateien wurden geprüft
6 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

thx.