Dies hier ist HJ Log vom Rechner meines Großvaters.
Ich versuch ja schon immer mal wenn ich da bin alles halbwegs sicher zu machen, aber ich bin ja nicht dauernd bei, wenn er mit seinem 56k Holzfuniermodem mit Kurbel ins Internet geht.
Jetzt hat die wöchentliche Überprüfung von NAV 04 2 Adware's gefunden, leider kann ich sie nicht per Hand löschen.
Nicht mal im DOS-Prompt.

Hier mal das LOG.

Logfile of HijackThis v1.99.0
Scan saved at 17:54:35, on 15.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSWorks\Kalender\WKCALREM.EXE
C:\Programme\DATA BECKER\Der große FotoShow Brenner\fsb.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Programme\webLCR\_webLCR.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet/customerindex_28.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [winupdate.reg] winupdate.exe
O4 - HKLM\..\Run: [slvchost] slvchost32.exe
O4 - HKLM\..\Run: [Windows Nets] WinNET.exe
O4 - HKLM\..\Run: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\RunServices: [NT Services] ntsvc.exe
O4 - HKLM\..\RunServices: [zervpack2] update2.exe
O4 - HKLM\..\RunServices: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\RunServices: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] svhost.exe
O4 - HKLM\..\RunServices: [SDIN Adapter] sdin.exe
O4 - HKLM\..\RunServices: [Media Player] wmplayer.exe
O4 - HKLM\..\RunServices: [Windows Messenger] msmsgs.exe
O4 - HKLM\..\RunServices: [winupdate.reg] winupdate.exe
O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe
O4 - HKLM\..\RunServices: [Windows Nets] WinNET.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Microsoft Works Kalender Erinnerungen.lnk = C:\Programme\MSWorks\Kalender\WKCALREM.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{76CAC795-986A-4A1F-9569-DDE1ECC44E1D}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: SDIN Adapter - Unknown - C:\WINDOWS\System32\sdin.exe (file missing)
O23 - Service: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run - Unknown - C:\WINDOWS\System32\svhost.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NT Services - Unknown - C:\WINDOWS\System32\ntsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Srv32 - Unknown - C:\WINDOWS\system32\srv32.exe (file missing)
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Nuja, viel Spaß beim durcharbeiten und schon mal Danke im Vorraus.

@Lyta
du hast den hier im system
http://www.sophos.de/virusinfo/analy...2spybotbx.html
O4 - HKLM\..\Run: [winupdate.reg] winupdate.exe
und den hier
http://www.sophos.de/virusinfo/analyses/w32rbotkp.html
O4 - HKLM\..\Run: [Windows Registry Scan] regscan32.exe
ansonsten ist noch mehr "mist" oben,
ich würde großvater mal überlegen lassen seine surfverhalten zu überdenken.
alleine wegen diese 2 backdoor kann ich dir nur system neu aufsetzen empfehlen
hier ein paar tips
http://www.trojaner-board.de/showpos...28&postcount=2


sry
chaosman

Ich denke mal Surfverhalten überdenken ist wohl falsch ausgedrückt.
Da er höchstens mal bei offiziellen Seiten von Adobe und sonstigen Fotobearbeitungsprogrammen ist, oder Ebay oder Autoscout24.
Ich denke mal das liegt an dem 56k Modem, da fängt man sich doch schnell was ein.
Reicht es, die ganzen Daten (wie Bilder) auf einer anderen Partition zu schieben und dann nur Windows neu raufmachen?
Da kein DVD Brenner vorhanden ist, wäre zu großer aufwand mehrer GB auf normalen CD's zu sichern.

@Lyta
Ich denke mal Surfverhalten überdenken ist wohl falsch ausgedrückt.
Da er höchstens mal bei offiziellen Seiten von Adobe und sonstigen Fotobearbeitungsprogrammen ist, oder Ebay oder Autoscout24.
Ich denke mal das liegt an dem 56k Modem, da fängt man sich doch schnell was ein.

liegt nicht am 56k modem.
http://www.datenschutzzentrum.de/sel...sie/config.htm
http://www.blafusel.de/ie.html



chaosman

Und wieder ein konspirativer Beitrag von chaosman.
Oh entschuldigung großer Meister.

@ chaosman --> es liegt an der Stromdose, die in diesem Haushalt nicht richtig montiert worden ;-))