Hallo ordell1234,

ja, vielleicht hast du recht mit "fulltime Job" Ich habe halt keine Erfahrung mit Boards& Co., oder wie schnell was geht oder nicht. Dennoch danke, dass du dabei geblieben bist...


DAs PRog Avenger geht nicht bei mir. Da kommt ´ne Fehlermeldung: Error:selected file does not appear to be a valid script. dies habe ich schon mal geschrieben.

Und hier ist das Log aus Registry Search:



Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 09.11.2007 21:37:01 for strings:
; 'cdfvie.dll'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C8AC5989-74D4-445F-A2EE-9B3AB8E198F6}\InprocServer32]
@="C:\\WINDOWS\\system32\\cdfvie.dll"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"a"="C:\\WINDOWS\\system32\\cdfvie.dll"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"a"="C:\\WINDOWS\\system32\\cdfvie.dll"

; End Of The Log...




Hier kommt Black Light

11/09/07 22:03:34 [Info]: BlackLight Engine 1.0.67 initialized
11/09/07 22:03:34 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/09/07 22:03:34 [Note]: 7019 4
11/09/07 22:03:34 [Note]: 7005 0
11/09/07 22:03:42 [Note]: 7006 0
11/09/07 22:03:42 [Note]: 7011 640
11/09/07 22:03:42 [Note]: 7026 0
11/09/07 22:03:42 [Note]: 7026 0
11/09/07 22:03:46 [Note]: FSRAW library version 1.7.1024
11/09/07 22:11:10 [Note]: 7007 0

Zitat:

Zitat von kimis

DAs PRog Avenger geht nicht bei mir. Da kommt ´ne Fehlermeldung: Error:selected file does not appear to be a valid script. dies habe ich schon mal geschrieben.

Ich weiß . War auch nur ein Versuch.

Gut, also da muss schwereres Gerät ran:

1. Übersehen habe ich die mysteriöse C:\WINDOWS\system32\drivers\iwwuioxy.dat. Starte registry search und suche nach iwwuioxy.dat. Poste bitte die Fundstellen, sofern vorhanden.

2. Lade dir den ERD-Commander, installiere die msi, gehe zu "C:\Programme\Microsoft Diagnostics and Recovery Toolset", brenne die erd50.iso als Image auf CD und starte den Rechner von dieser boot-CD neu.

3. Suche C:\WINDOWS\system32\drivers\iwwuioxy.dat und C:\WINDOWS\system32\cdfvie.dll und verschiebe sie nach c:\ (Rechtsklick auf die Dateien -> move to). Nenne die Dateien jeweils in .ren um.

4. Öffne den Registryeditor (Start-Administrative tools - Registry Editor) und lösche den Schlüssel

-[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C8AC598 9-74D4-445F-A2EE-9B3AB8E198F6}

5. Starte neu und versuche die unter c:\ gespeicherte iwwuioxy.ren bei virustotal hochzuladen. Poste auch ein neues HJT-log.

Insgesamt habe ich bei der Aktion Bauchschmerzen. Aus deinen logs werde ich ehrlich gesagt nicht so recht schlau; warum die popelige cdfvie.dll so hartnäckig ist, erschließt sich mir nicht, dass Avenger nicht funktioniert ist ebenfalls kein gutes Zeichen. Vielleicht solltest du Neuaufsetzen. Geht nicht nur schneller, ist auf jeden Fall die sicherste Lösung. Deine Entscheidung. Gruß

PS: Sollte die Löschaktion über ERD erfolgreich gewesen sein, kannste ja mal probieren, ob Avenger wieder läuft. Einfach ne leere Textdatei unter C:\ erstellen und in ein script schreiben:

Files to delete:
C:\ deinetxt.txt

Hi Hi,

hier der Reg-Log:
ndows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 10.11.2007 18:27:34 for strings:
; 'iwwuioxy.dat'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gbtwjtet]
; Contents of value:
; system32\drivers\iwwuioxy.dat
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,69,00,77,00,77,00,75,00,69,00,6f,\
00,78,00,79,00,2e,00,64,00,61,00,74,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\gbtwjtet]
; Contents of value:
; system32\drivers\iwwuioxy.dat
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,69,00,77,00,77,00,75,00,69,00,6f,\
00,78,00,79,00,2e,00,64,00,61,00,74,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gbtwjtet]
; Contents of value:
; system32\drivers\iwwuioxy.dat
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,69,00,77,00,77,00,75,00,69,00,6f,\
00,78,00,79,00,2e,00,64,00,61,00,74,00,00,00

; End Of The Log...



Danke das du noch dabei bist.:aplaus:

info zum rest folgt

Hallo,
das mit ERD ging. die Datei gab es da zwei mal: cdfvie.dee & *cdfvie.dll. Ich habe beide verschoben. Dateien wurden verschoben und übers VirusTotal. Habe auch die iwwuioxy.dat verschoben. Den schlüssel gelöscht.

Ich frage mich auch. Mein Northon hat es nicht erkann. Der Online Kaspersky ebenso nicht. Ob der PC dann suaber ist? Ich frage mich auch, wie ist der draufgekommen? ich schaute auf das Datum der Datei: Es ist genau das Datum, wo ich mich nach 3 Wochen wieder ins netz einwählte, da ich den Provider gewechselt habe. Vielleicht war das auch ein Abschiedsgeschenk von 1&...
hier das ergebnis des scans: merkwürdig: hier sind parr Jungs dazu gekommen.....???
das ist jetzt die cdfvie.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.10.0 2007.11.09 -
AntiVir 7.6.0.34 2007.11.09 TR/Crypt.Morphine.Gen
Authentium 4.93.8 2007.11.10 -
Avast 4.7.1074.0 2007.11.10 -
AVG 7.5.0.503 2007.11.10 Obfustat.VNX
BitDefender 7.2 2007.11.10 -
CAT-QuickHeal 9.00 2007.11.10 -
ClamAV 0.91.2 2007.11.10 -
DrWeb 4.44.0.09170 2007.11.10 Trojan.Sentinel
eSafe 7.0.15.0 2007.11.08 Suspicious File
eTrust-Vet 31.2.5284 2007.11.09 -
Ewido 4.0 2007.11.10 -
FileAdvisor 1 2007.11.10 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.09 W32/Downloader.F.gen!Eldorado
F-Secure 6.70.13030.0 2007.11.10 -
Ikarus T3.1.1.12 2007.11.10 Trojan-Spy.Win32.BZub.btx
Kaspersky 7.0.0.125 2007.11.10 -
McAfee 5160 2007.11.09 -
Microsoft 1.3007 2007.11.10 -
NOD32v2 2651 2007.11.10 -
Norman 5.80.02 2007.11.09 -
Panda 9.0.0.4 2007.11.10 Suspicious file
Prevx1 V2 2007.11.10 -
Rising 20.17.52.00 2007.11.10 -
Sophos 4.23.0 2007.11.10 -
Sunbelt 2.2.907.0 2007.11.09 -
Symantec 10 2007.11.10 -
TheHacker 6.2.9.123 2007.11.10 -
VBA32 3.12.2.4 2007.11.08 -
VirusBuster 4.3.26:9 2007.11.10 -
Webwasher-Gateway 6.0.1 2007.11.10 Trojan.Crypt.Morphine.Gen
weitere Informationen
File size: 115200 bytes
MD5: 6b4bbabdcfbb1589d7da9d8970f99040
SHA1: a150955c86286844dde784e155d193853bb989e4


jetzt die cdfview.dll ich hab hier wohl mist gemacht hab wohl eine Windows datei mitgelöscht.....egal hier der log, nur was sollich tun?

allerdings mit dieser meldung:

0.91.2 2007.11.10 -
DrWeb 4.44.0.09170 2007.11.10 -
eSafe 7.0.15.0 2007.11.08 -
eTrust-Vet 31.2.5284 2007.11.09 -
Ewido 4.0 2007.11.10 -
FileAdvisor 1 2007.11.10 No threat detected, but known vulnerabilities exist
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.09 -
F-Secure 6.70.13030.0 2007.11.10 -
Ikarus T3.1.1.12 2007.11.10 -
Kaspersky 7.0.0.125 2007.11.10 -


jetzt die iwwuioxy.dat--->da ist ein Backdor rootkit drin??????
Ergebnis: 9/32 (28.13%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.10.0 2007.11.09 -
AntiVir 7.6.0.34 2007.11.09 TR/Rootkit.Gen
Authentium 4.93.8 2007.11.10 -
Avast 4.7.1074.0 2007.11.10 -
AVG 7.5.0.503 2007.11.10 -
BitDefender 7.2 2007.11.10 Backdoor.Ntrootkit.I
CAT-QuickHeal 9.00 2007.11.10 Rootkit.Agent.kt
ClamAV 0.91.2 2007.11.10 -
DrWeb 4.44.0.09170 2007.11.10 Trojan.Sentinel
eSafe 7.0.15.0 2007.11.08 -
eTrust-Vet 31.2.5284 2007.11.09 -
Ewido 4.0 2007.11.10 -
FileAdvisor 1 2007.11.10 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.09 -
F-Secure 6.70.13030.0 2007.11.10 Rootkit.Win32.Agent.kt
Ikarus T3.1.1.12 2007.11.10 Backdoor.NtRootKit.I
Kaspersky 7.0.0.125 2007.11.10 Rootkit.Win32.Agent.kt
McAfee 5160 2007.11.09 -
Microsoft 1.3007 2007.11.10 -
NOD32v2 2651 2007.11.10 -
Norman 5.80.02 2007.11.09 -
Panda 9.0.0.4 2007.11.10 -
Prevx1 V2 2007.11.10 -
Rising 20.17.52.00 2007.11.10 Trojan.Win32.Agent.zsk
Sophos 4.23.0 2007.11.10 -
Sunbelt 2.2.907.0 2007.11.09 -
Symantec 10 2007.11.10 -
TheHacker 6.2.9.123 2007.11.10 -
VBA32 3.12.2.4 2007.11.08 -
VirusBuster 4.3.26:9 2007.11.10 -
Webwasher-Gateway 6.0.1 2007.11.10 Trojan.Rootkit.Gen
weitere Informationen
File size: 17792 bytes
MD5: 149abc29e2cccd1cd9a479a32bde0e3d
SHA1: 60006a627bf3cfc59690906bcf3fd71c79da6936


jetzt kommt noch hjt

jetzt hjt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:32:48, on 10.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
E:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\CTsvcCDA.exe
E:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
E:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\system32\taskmgr.exe
E:\programme\internet explorer\iexplore.exe
E:\programme\HiJackThis\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {C8AC5989-74D4-445F-A2EE-9B3AB8E198F6} - (no file)
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] E:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "E:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193078511750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1187298317531
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - E:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - E:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - E:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - E:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - E:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 9185 bytes



...und wie schauts aus??

Jackpot! Ein Kernelrootkit. Es gibt nur einen sinnvollen Weg: Rechner sofort vom Netz nehmen, alles plattmachen, anschließend sämtliche Passwörter und sonstige personenbezogen Daten ändern, die du im Netz verwendest.

Zitat:

Zitat von kimis

Ich frage mich auch. Mein Northon hat es nicht erkann. Der Online Kaspersky ebenso nicht.

Dein thread ist ein Lehrstück für die Unzulänglichkeit von Virenscannern.

Zitat:

Ob der PC dann suaber ist?

No way. Die Manipulationen auf deiner Kiste sind nicht mehr nachzuvollziehen.

Zitat:

Ich frage mich auch, wie ist der draufgekommen?

Durch dein Surf- und Downloadverhalten. Zusätzlich mußt du das Ding unwissentlich installiert haben. Google mal nach "Malte Wetz - Kompromittierung unvermeidbar?" Lesenswert . In den faq findest du auch eine Anleitung zum Neuaufsetzen mit weiterführenden links, die ebenfalls sehr informativ sind.

Grüße ordell

Hallo,

von mir bekommst Du den nächsten Stern, für mich persönlich war Deine Antwort zwar nicht erfreulich, doch Erklärend.

Respekt und Danke! :aplaus: :aplaus: :aplaus:

Noch eine Anmerkung: Da das Teil von zahlreichen Scannern derzeit nicht erkannt wird, achte bei der Neustallation unbedingt auf saubere Software. Finger weg von allem, was nicht zu 300% koscher ist.