Hallo,

hab den Virus seit gestern drauf, dachte eigentlich ihn entfernt zu haben... dem war aber anscheinend nicht so...

Ich hoffe ihr könnt mir weiterhelfen...

Logfile of HijackThis v1.99.1
Scan saved at 13:50:54, on 15.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
K:\Norton Ghost 2003\GhostStartService.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Windows\system32\sndserv.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\isnotify.exe
c:\programme\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
L:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "K:\RivaTuner v2.0 RC 15.7\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\McAgent.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://K:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/d9dea923c04b3b1226c96c70f6618d18_35.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3695BC2-6CE0-4188-8543-A4BA7971C99B}: NameServer = 192.168.178.1
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll
O23 - Service: GhostStartService - Symantec Corporation - K:\Norton Ghost 2003\GhostStartService.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Windows Sound (Sound Service) - Unknown owner - C:\Windows\system32\sndserv.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

mfg Henrik

Hi,

hab mal dieses SmitfraudFix durchlaufen lassen im abgesicherten Modus...

SmitFraudFix v2.70

Scan done at 14:10:46,09, 15.07.2006
Run from L:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\pmnqguh.dll ->
C:\WINDOWS\system32\pmnqguh.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ishost.exe Deleted
C:\WINDOWS\system32\ismon.exe Deleted
C:\WINDOWS\system32\isnotify.exe Deleted
C:\WINDOWS\system32\issearch.exe Deleted
C:\WINDOWS\system32\ixt?.dll Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\DOKUME~1\Felgner\FAVORI~1\Antivirus Test Online.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

... hat genau die Files gelöscht, die m.E. die Probleme gemacht haben, die ich aber nicht löschen konnte...

Scheint als ob alles wiedere in Ordnung ist...

mfg Henrik

Hallo,

scanne die Datei

C:\WINDOWS\system32\nvsvcd.exe

online bei http://www.virustotal.com
und poste das Ergebnis hier, sollte dieser sein, was Backup einspielen oder Neuaufsetzen bedeutet.
Du hast Ghost auf dem Rechner, wieso spielst Du kein Backup ein?

Gruß

Schrulli

Muß nicht gegengeprüft werden, handelt sich eindeutig um folgenden:

Backdoor-XTC

Da es sich um eine Backdoor handelt, ist das System als kompromittiert anzusehen

-->Neuaufsetzen und vor der ersten Internetverbindung vernünftig absichern (s.Link).

Zitat:

Zitat von Schrulli

Hallo,

scanne die Datei

C:\WINDOWS\system32\nvsvcd.exe

online bei http://www.virustotal.com
und poste das Ergebnis hier, sollte dieser sein, was Backup einspielen oder Neuaufsetzen bedeutet.
Du hast Ghost auf dem Rechner, wieso spielst Du kein Backup ein?

Gruß

Schrulli

Dieser Prozess geht von den VGA-Treibern von Nvidia aus... der ist schon immer da und der ist auch auf allen andern PCs zu finden, nichts beunruhigendes... trotzdem danke! Achja, zum Ghostimage... ist schon zu alt, da kann ich auch richtig formatieren

Zitat:

Zitat von cronos

Muß nicht gegengeprüft werden, handelt sich eindeutig um folgenden:

Backdoor-XTC

Da es sich um eine Backdoor handelt, ist das System als kompromittiert anzusehen

-->Neuaufsetzen und vor der ersten Internetverbindung vernünftig absichern (s.Link).

Naja, im Moment hab ich keinerlei Probleme... hab zwar noch keinen Neustart gemacht, aber bevor hier nicht alles zerstört ist, werde ich das schön lassen
Mal schaun, wie es sich entwickelt...

mfg Henrik

nvsvc32.exe gehört sicherlich zu NVidia.

nvsvcd.exe aber nicht.

Daher kann ich dir nur raten, was ich vorher geraten habe und dir zusätzlich nochmal die geposteten Links zu Gemüte führen.

Hallo,

Zitat:

Naja, im Moment hab ich keinerlei Probleme... hab zwar noch keinen Neustart gemacht, aber bevor hier nicht alles zerstört ist, werde ich das schön lassen
Mal schaun, wie es sich entwickelt...

wenn Du Pech hast merkst Du es nie und irgendwann wird Dein Rechner von der Polizei abgeholt, weil er z.B. bei einer DOS Attacke beteiligt war oder verbotene Inhalte auf dem Rechner gelagert wurden.
Berfolge den Rat des Neuaufsetzens, diese Anleitung hilft Dir dabei, wie schon von cronos gepostet.
Wenn Du Ghost eh nicht verwendest, dann kannst Du es auch deinstallieren

Gruß

Schrulli

Hi,

nachdem nun doch ein paar Probleme aufgetaucht sind (in Form von Popups und Verschiedenenmeldungen im Internet Explorer, die mich auf eine WinAntiVir Seite brachten), habe ich mich entschlossen C:\ platt zu machen und WinXP neu draufzuspielen...

Bis dahin ok, hab auch gerade wieder alles fertig (Treiber, Programme etc.) da kommt diese Meldungs erneut im IE... das ist frustrierend... vorallendingen wird mein Computer dadurch so langsam, dass eigentlich nur ein Neustart hilft...

hab noch mal ein logfile gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 16:57:03, on 20.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
K:\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
K:\AD-AWA~1\Ad-Aware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Media Player\wmplayer.exe
L:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - K:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "K:\RivaTuner v2.0 RC 15.7\RivaTuner.exe" /S
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://K:\MICROS~1\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E95EC7F-6169-4E91-A749-EA955E7DE80A}: NameServer = 192.168.178.1
O23 - Service: GhostStartService - Symantec Corporation - K:\Norton Ghost 2003\GhostStartService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hoffe ihr könnt mir weiterhelfen..

mfg Henrik

@Henrik,

Zitat:

habe ich mich entschlossen C:\ platt zu machen und WinXP neu draufzuspielen...

Wie hast du das denn gemacht? Einfach nur Windows "drüber-gebügelt"? Oder richtig gemacht mit Partition löschen usw?

Wenn du es nur drüber-gebügelt hast, kannst du gleich nochmal von vorne anfangen es sind zwar keine Einträge im Logfile zu erkennen, ist die Gefahr doch sehr groß das noch etwas übrig geblieben war

Gruß
Daniel

Nene, hab schon richtig platt gemacht, also komplett gelöscht die Partition...

Hab allerdings insgesamt 9 Partitionen, meint ihr da kann auf den anderen auch noch irgendetwas draufsein?

Allerdings ist ja etwas da und dieses etwas stört ganz gewaltig... ich frag mich nur, was das sein könnte...

mfg Henrik

Wieso gleich die Festplatte platt machen?
Mit Spybot Search&Destroy hättest du dir die Arbeit sparen können (kann man übrigens kostenfrei runterladen)..Kaspersky´s IS7 geht übrigens auch. Ich hab beides. Überhaupt nicht zu empfehlen ist AntiVir.

Mal abgesehen davon, dass du da gleich einen alten Thread ausgegraben hast, ist diese Auskunft ist im Prinzip falsch. Zumal: "Damals" gab es noch gar kein KIS7. Man sollte vielleicht schlauer Weise auf's Datum schauen, bevor man anfängt zu posten.