twain32.exe und nvsvc32.exe - infiziert

MetalM · 24.07.2007, 15:49

Hallo Leute!

Mein Virenscanner gab mir die Meldung dass die beiden Dateien twain32.exe und nvsvc32.exe infiziert sind. (nvcvc32.exe gehört irgendwie zur Grafik, oder so)

Habe bei Kaspersky nen online-Scan durchgeführt, der war auch postiv.
Befund bei beiden Dateien: Backdoor.Win32.Agobot.afj

Was soll ich nun machen? Beide Dateien einfach löschen?
Oder System neu aufsetzen?

Franz1968 · 24.07.2007, 15:54

Wenn beide Dateien tatsächlich infiziert sind, werden sie sich vermutlich nicht einfach löschen lassen.
Welcher Virenscanner meldet denn den Befall, und in welchen Pfaden?

Ein HijackThis-Logfile wäre zudem hilfreich. Eine Anleitung dazu gibt es in den FAQ.

MetalM · 24.07.2007, 16:01

Welcher Virenscanner schlägt an?
AntiVir - Letztes Update: heute, 24.06.2007
Kaspersky online-Scanner - kaspersky.com/de/virusscanner

Windows-Updates habe ich vor ca. 4 Wochen durchgeführt

Habe mal HijackThis laufen lassen, hier der Logfile:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 16:57:11, on 24.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe
I:\Programme\Sicherheit\Comodo\Firewall\CPF.exe
I:\Programme\Office\Eumex\Capictrl.exe
C:\Programme\AntiVir\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
I:\Programme\Sicherheit\comodo\Firewall\cmdagent.exe
C:\WINDOWS\nvsvc32.exe
C:\WINDOWS\twain32.exe
I:\Programme\Internet\FireFox\firefox.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.XXX.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "I:\Programme\Sicherheit\Comodo\Firewall\CPF.exe" /background
O4 - Global Startup: CAPI Control.lnk = I:\Programme\Office\Eumex\Capictrl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176719075765
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AC36097-3888-40A5-A1C4-4D1820BE5E7B}: NameServer = 81.173.194.68 194.8.194.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{1AC36097-3888-40A5-A1C4-4D1820BE5E7B}: NameServer = 81.173.194.68 194.8.194.60
O17 - HKLM\System\CS2\Services\Tcpip\..\{1AC36097-3888-40A5-A1C4-4D1820BE5E7B}: NameServer = 81.173.194.68 194.8.194.60
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - I:\Programme\Sicherheit\comodo\Firewall\cmdagent.exe
O23 - Service: Messenger Journel - Unknown owner - C:\WINDOWS\usnsvc.exe (file missing)
O23 - Service: Nvidia Driver Help - Unknown owner - C:\WINDOWS\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - I:\Programme\Tools\TuneUp\WinStylerThemeSvc.exe
O23 - Service: Windows Automatic Update - Unknown owner - C:\WINDOWS\twain32.exe

Vielen Dank schonmal

Franz1968 · 24.07.2007, 16:08

Zitat:

Windows-Updates habe ich vor ca. 4 Wochen durchgeführt

Und dabei ist dann SP 1 herausgekommen?

:aplaus:
*scnr*

Bei dem Patchzustand glaube ich dir aber unbesehen, dass z. B. das hier:

Zitat:

O23 - Service: Windows Automatic Update - Unknown owner - C:\WINDOWS\twain32.exe

ein Agobot oder Ähnliches ist.

irrlicht · 24.07.2007, 16:10

Hallo,

Zitat:

Windows-Updates habe ich vor ca. 4 Wochen durchgeführt

ach ja ?

Da muß aber was ungeheuer schief gegangen sein dabei....

Sonst könnte das ,so nicht sein...

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Es gibt Leute die helfen nicht mehr ,wenn sie solch ungepflegte Systeme sehen müssen....

Um "Franz" zu entlasten und meinen alten Bruder im Geiste"Sunny" auf die Palme zu jagen :aplaus: ,bekommst du diesen Link von mir :
http://www.trojaner-board.de/12154-a...sicherung.html
Irrlicht

MetalM · 24.07.2007, 16:14

Ok, danke erstmal.
Auf das SP2 habe ich verzichtet, weil mein System dann nicht mehr lief.
Und zwar gar nicht mehr

Viel schief gegangen sein?
Muss ja, ich habe in meiner Systemsteuerung unter "Software" 41 Sicherheitsupdates für WinXP. Auch im Windows-Verzeichnis liegen diese alle.
Bezeichnungen: KB835409 bis KB925486

Soll ich mein System trotzdem neu aufsetzen?

Franz1968 · 24.07.2007, 16:14

Zitat:

Zitat von irrlicht

Um "Franz" zu entlasten

Ooch... ich komme ganz gut zurecht mit meiner "Last", irrlicht.

- und sorry für OT -

MetalM · 24.07.2007, 16:18

Bitte helft mir noch einmal:
Ich kann das SP2 nicht nutzen, dann geht bei mir nix mehr. Der PC startet dann noch nicht einmal.
Und ich habe wirklich die Sicherheitsupdates drauf. (siehe unten)

Soll ich mein System wirklich neu machen?

irrlicht · 24.07.2007, 16:20

Hallo,

Zitat:

ich komme ganz gut zurecht mit meiner "Last",

Du warst eben nur der "Aufmacher":aplaus:

Zitat:

habe in meiner Systemsteuerung unter "Software" 41 Sicherheitsupdates für WinXP

Das ist gut möglich....
Es sind trotzdem bei weitem nicht genug.Nach SP2 gab es bisher an die Hundert weitere Üpdate`s..

....und du hältst dich für überupdatet ?

Irrlicht

Franz1968 · 24.07.2007, 16:27

Zitat:

Zitat von irrlicht

Du warst eben nur der "Aufmacher":aplaus:

Das hat mir ja noch niemand gesagt. *rotwerd*

@MetalM: Ja, du solltest dein System neu aufsetzen, denn es ist kompromittiert. Folge bitte dem Link, den irrlicht gepostet hat.
Zentral ist es, das Betriebssystem stets aktuell zu halten, dazu gehören unbedingt das SP 2 und alle nachfolgenden Updates.

Dass du kürzlich erst dein Windows aktualisiert hast, kann ich nicht so recht nachvollziehen, denn IMO wird XP mit SP 1 von Microsoft schon lange nicht mehr unterstützt.

MetalM · 24.07.2007, 16:46

Ok, vielen Dank für die Antworten.

Ich setze mein System neu auf.

In der Datei WindowsUpdate.log steht alles drinne, letztes Update:28.06.2007.
Wie gesagt, mit SP2 konnte ich meinen PC nicht mehr starten.
Aber bringt ja alles nix, ich mache alles neu...

THX für die Hilfe!

**Sunny** · 24.07.2007, 16:54

Zitat:

Zitat von MetalM

Ich setze mein System neu auf.

In der Datei WindowsUpdate.log steht alles drinne, letztes Update:28.06.2007.
Wie gesagt, mit SP2 konnte ich meinen PC nicht mehr starten.
Aber bringt ja alles nix, ich mache alles neu...

Sunny, der von der Palme schielt:

Dann brauchst du dein System auch nicht formatieren, spar dir die Arbeit!

Lass am besten alles so wie es ist ... das System sieht danach genauso aus wie jetzt.

Sunny

MetalM · 25.07.2007, 13:28

Hi Leute!

Nochmal danke für die Unterstützung

Hab alles neu aufgesetzt und unmittelbar nach der ersten Windows-Installation (also von CD inkl. SP1) nen Backup gemacht. Ohne dabei je online gegangen zu sein.

Ich dachte mir, dass wenn beim Update aufs SP2 wieder alles schief geht, dann brauchste Windows nicht neu aufspielen. Und das war gut so, denn beim Update auf SP2 wieder der selbe Mist. PC beim Reboot aufgehangen, nix ging mehr, auch nicht im abgesicherter Modus.

Hab dann das Backup aufgespielt und mir das SP2, was es bei winfuture gibt, aufgespielt. Jetzt läuft alles wieder. *freu*
Danach habe ich mir alle verfügbaren Sicherheitsupdates gezogen, der PC rennt noch immer...

Die beiden Dateien twain32.exe und nvsvc32.exe sind nicht mehr vorhanden, das ist auch gut so

Hoffentlich klappt beim nächsten Windows-Update alles

24.07.2007, 15:54	#2
Franz1968 /// Helfer-Team	twain32.exe und nvsvc32.exe - infiziert Wenn beide Dateien tatsächlich infiziert sind, werden sie sich vermutlich nicht einfach löschen lassen. Welcher Virenscanner meldet denn den Befall, und in welchen Pfaden? Ein HijackThis-Logfile wäre zudem hilfreich. Eine Anleitung dazu gibt es in den FAQ. __________________ __________________

twain32.exe und nvsvc32.exe - infiziert

Plagegeister aller Art und deren Bekämpfung: twain32.exe und nvsvc32.exe - infiziert