Hallo,

eigentlich hatte ich bis jetzt noch nie Probleme mit Viren und Trojanern, aber jetzt hat ClamWinAV die nvsvcd.exe als infiziert dargestellt.

Hier im Board habe ich nun schon einige Sachen gefunden und gleich mal den Online Malware Scan von virusscan.jotti.org ausgeführt, das Ergebnis ist aber nicht so aussagekräftig:

Scan taken on 07 May 2007 20:25:57 (GMT)
A-Squared Found Trojan.Win32.Agent.xu
AntiVir Found TR/Proxy.Horst.Gen
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found Agent.JL
BitDefender Found Trojan.Agent.XU
ClamAV Found Trojan.Agent-1960
Dr.Web Found Trojan.Spambot
F-Prot Antivirus Found W32/Trojan.LWR
F-Secure Anti-Virus Found Trojan.Win32.Agent.xu
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan.Win32.Agent.xu
NOD32 Found Win32/Medbot.BS
Norman Virus Control Found nothing
Panda Antivirus Found Trj/Spammer.CS
Rising Antivirus Found Trojan.Agent.xfr
VirusBuster Found nothing
VBA32 Found Trojan.Win32.Agent.xu

Wie weiß ich denn nun was wirklich Sache ist mit der Datei und was ich als nächstes tun sollte (einige haben ja auch nichts gefunden)? Da es eine Datei des system32 Ordners ist, macht mir das einfach Löschen der Datei irgendwie Sorgen und ClanWinAV scheint wohl kein Scanner zu sein, der sowas entfernen kann.

Freu mich über jede Hilfe.

Gruß Pflaume

Hi,

die einzelnen Virenscanner arbeiten ja unabhängig von der Konkurrenz, sodass es auch recht häufig so ist, dass der Trojaner bei jedem Programm nen anderen Namen hat.

Ich müsste zwar jetzt erst nachgucken, aber ich vermute dass die Programme schon alle denselben Virus finden.


Aufgrund der Erkennungsrate bei den Programmen würde ich sagen du bist definitiv infiziert und es ist aller Wahrscheinlichkeit nach ein Backdoortrojaner. Diesen kann man leider nur durch ein Neuaufsetzen ganz beikommen.

Bevor ich hier allerdings überstürzte Urteile fälle, würde ich gern noch dein Hijackthislog sehen. Anleitung befindet sich in der FAQ-Abteilung hier im Forum.

lg myrtille

Hallo , hier ist mein Hijackthis.log

Logfile of HijackThis v1.99.1
Scan saved at 10:38:04, on 08.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\ClamWin\bin\ClamTray.exe
C:\Programme\Comodo\Firewall\CPF.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Active Desktop Calendar\ADC.exe
C:\Programme\FreeMem Professional\fmempro.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://us.mcafee.com/apps/quickcleanh6/en-us/redir.asp?affid=0-79&installtype=force&systempopup=true
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {140E5BEC-12E1-BD9F-69F0-AA7EE0D9FF18} - (no file)
O2 - BHO: (no name) - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [ClamWin] "C:\Programme\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Programme\Active Desktop Calendar\ADC.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [FreeMem Pro] "C:\Programme\FreeMem Professional\fmempro.exe" autostart
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - hxxp://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159213404593
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)

Gruß Pflaume

Hi,
Dein Logfile sieht sauber aus
Guck mal noch ob in dem Ordner C:\WINDOWS\system32\ eine Datei namens netf.dll vorhanden ist.

Hallo,

die Datei ist bei mir nicht vorhanden, nur eine netfxperf.dll

Habe nochmal einen Scan der Datei bei virustotal.com gemacht, da ja dort nochmal andere Scanner verwendet werden, auch hier wieder kein eindeutiges Ergebnis:

[ file data ]
* name: nvsvcd.exe
* size: 45056
* md5.: a86e4985ae0f34f0fa4dfce87e5f2671
* sha1: 24190ce578634c2b9a28f15f9d577e47cb070a2d


[ scan result ]
AhnLab-V3 2007.5.9.0/20070508 found [Win-Trojan/Agent.45056.AT]
AntiVir 7.4.0.15/20070508 found [TR/Proxy.Horst.Gen]
Authentium 4.93.8/20070507 found [W32/Trojan.LWR]
Avast 4.7.997.0/20070507 found nothing
AVG 7.5.0.467/20070507 found [Agent.JL]
BitDefender 7.2/20070508 found [Trojan.Agent.XU]
CAT-QuickHeal 9.00/20070508 found nothing
ClamAV devel-20070416/20070508 found [Trojan.Agent-1960]
DrWeb 4.33/20070508 found [Trojan.Spambot]
eSafe 7.0.15.0/20070507 found nothing
eTrust-Vet 30.7.3618/20070508 found [Win32/Boxed.EA]
Ewido 4.0/20070508 found [Trojan.Agent.xu]
F-Prot 4.3.2.48/20070507 found [W32/Trojan.LWR]
F-Secure 6.70.13030.0/20070508 found [Trojan.Win32.Agent.xu]
FileAdvisor 1/20070508 found nothing
Fortinet 2.85.0.0/20070508 found nothing
Ikarus T3.1.1.7/20070508 found [Trojan-Proxy.Win32.Horst.av]
Kaspersky 4.0.2.24/20070508 found [Trojan.Win32.Agent.xu]
McAfee 5025/20070507 found nothing
Microsoft 1.2503/20070507 found nothing
NOD32v2 2249/20070508 found [Win32/Medbot.BS]
Norman 5.80.02/20070508 found nothing
Panda 9.0.0.4/20070507 found [Trj/Spammer.CS]
Sophos 4.17.0/20070507 found nothing
Sunbelt 2.2.907.0/20070505 found nothing
Symantec 10/20070508 found [Trojan.Lootseek.AV]
TheHacker 6.1.6.109/20070508 found [Trojan/Horst.gen]
VBA32 3.12.0/20070508 found [Trojan.Win32.Agent.xu]
VirusBuster 4.3.7:9/20070508 found nothing
Webwasher-Gateway 6.0.1/20070508 found [Trojan.Proxy.Horst.Gen]

Bin nun doch schon ziemlich verwirrt.

Sorry aber du musst leider dein System neuaufsetzen. Die Anleitung und gründe findest du im FAQ-Bereich.

Du hast dir diesen Backdoor eingefangen:
Trojan.Lootseek.AV

Neu aufsetzen?

Das sind fast 2 Tage Arbeit und mein System ist erst wenige Monate alt ... gibt es da keine andere Möglichkeit?

Habe weder die Zeit noch die Lust für ein Neu Aufsetzen, das ist echt erschütternd!

Dazu zitier ich immer gerne das Schicksal eines anderen Menschens mit dem gleichen Problem wie du es hast.

Zitat:

ist folgendes passiert: Plötzlich hat sich mein Mausanzeiger gezielt bewegt und verschiedene Sachen angeklickt, dann hat jemand in meinem Navigator vor meinen Augen eine Erotikseite eingetippt und ist darin rumgesurft ! Ich habe dann schnellstens das Internetkabel gezogen!

Wenn du nicht willst das dir ähnliches passiert solltest du Neuaufsetzen und anschließend absichern! Anleitung im FAQ-Bereich.