Hallo Leute,

ich hoffe jemand kann mir helfen. Ich habe beim Herunterfahren meines Systems (WinXP/SP1) oben genannte Fehlermeldung, bevor sich der Rechner abschaltet. Die kommt nicht jedesmal. Habe das Gefühl das ist was böses und habe im Inet nach der Fehlermeldung gesucht und bin auf den Wurm "Fagot" alias "W32.Petch" gestossen. Dort wird auch meine Fehlermeldung beschrieben, aber nicht wann diese erscheint (Neustart oder im laufenden Betrieb ?) Des weiteren kommt mir die Beschreibung der Fehler, die dieser Wurm auslöst, komisch vor. Da ich keinen anderen davon hatte ausser "Memory Error in Block...navpsvc.ex".(navpsvc.exe ist der Wächter von Norton Antivirus.)

Habe schon Virenscanner aller Art,SpyBot,AdAware über HijackThis und alles was es noch so gibt ausprobiert. Mittlerweile ist der Stand so, daß von keiner Anwendung mehr Fehler gefunden werden. Aber mein Fehler ist immernoch da. Bin sicher, das es ein Wurm/Trojaner oder sonstiges ist und kein Hardwarefehler. Dass habe ich schon getestet.

Hat jemand eine Idee ?

Gruß FB1

Scanne mal hiermit: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste ein HijackThis-Log.

Hallo Christian,

ersteinmal vielen Dank für Dein Engagement in dieser Sache. Du warst der einzige der überhaupt geantwortet hat -- wie man sieht.

habe alles hinbekommen indem ich Norton Antivirus 2004 Prof deinstalliert habe. Danach F-Secure installiert und der hat allerlei böse Sachen gefunden, darunter einen " Downloadmanager" für Viren/Würmer/Trojaner u.s.w.Sogar die "ewido security suite" unter "Autostart" ist wieder angesprungen und hat geholfen zu löschen was der F-Secure nicht konnte (Der hat halt umbenannt-->ist aber auch OK)

FAZIT:

Läuft alles wieder Prima und werde mit Symantec erstmal nichts mehr machen!

FB1

PS: Die "ScheissTeile" haben meinen Ram so gut wie unbrauchbar gemacht. (1GB Geil DUALCHANNEL DDR400 PC3200 / 4x256 MB) --> Ohne Worte !?! -- Hoch und Runterfahren des PC macht wieder Spass und ich habe wieder Benchmarkwerte die meinem System gleich kommen.


Mein System: ABIT IC7 / P4 2,8C / RAM s.o./ Powercolor ATI X800 Pro u.s.w.

Na, hau Symantec in den nächsten Mülleimer.

Wenn du soviel Malware drauf hattest, dann wäre es interessant ob nicht noch unbekannte Malware auf deinen System ist.
Wäre also hilfreich, wenn du doch ein HijackThis-Log posten würdest: http://filepony.de/download-hijackthis/

Hallo Christian,

setze HiJackThis-Log heute Abend nach der Arbeit noch mal rein.

Danke

Bis dann

FB1

Hallo Christian,

Hier das Ergebnis von HiJackThis:

Logfile of HijackThis v1.97.7
Scan saved at 19:23:48, on 12.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\BackWeb-4476822.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\Program Files\Norton Utilities\NProtect.exe
C:\WINDOWS\System32\sokscmnt.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\Norton Utilities\SYSDOC32.EXE
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Documents and Settings\FB1\Desktop\Troclean\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...etaStream3.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...894.5076967593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab

--------------------------------------------------------------------------

Bis dann, ich schau nachher noch mal rein,

FB1

Dies kenne ich nicht: C:\WINDOWS\System32\sokscmnt.exe

Vielleicht kannst du ja mal die Datei an partytime-germany.ice@web.de
schicken?