Hallo Leute,

ich hoffe jemand kann mir helfen. Ich habe beim Herunterfahren meines Systems (WinXP/SP1) oben genannte Fehlermeldung, bevor sich der Rechner abschaltet. Die kommt nicht jedesmal. Habe das Gefühl das ist was böses und habe im Inet nach der Fehlermeldung gesucht und bin auf den Wurm "Fagot" alias "W32.Petch" gestossen. Dort wird auch meine Fehlermeldung beschrieben, aber nicht wann diese erscheint (Neustart oder im laufenden Betrieb ?) Des weiteren kommt mir die Beschreibung der Fehler, die dieser Wurm auslöst, komisch vor. Da ich keinen anderen davon hatte ausser "Memory Error in Block...navpsvc.ex".(navpsvc.exe ist der Wächter von Norton Antivirus.)

Habe schon Virenscanner aller Art,SpyBot,AdAware über HijackThis und alles was es noch so gibt ausprobiert. Mittlerweile ist der Stand so, daß von keiner Anwendung mehr Fehler gefunden werden. Aber mein Fehler ist immernoch da. Bin sicher, das es ein Wurm/Trojaner oder sonstiges ist und kein Hardwarefehler. Dass habe ich schon getestet.

Hat jemand eine Idee ?

Gruß FB1

Scanne mal hiermit: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste ein HijackThis-Log.

Hallo Christian,

ersteinmal vielen Dank für Dein Engagement in dieser Sache. Du warst der einzige der überhaupt geantwortet hat -- wie man sieht.

habe alles hinbekommen indem ich Norton Antivirus 2004 Prof deinstalliert habe. Danach F-Secure installiert und der hat allerlei böse Sachen gefunden, darunter einen " Downloadmanager" für Viren/Würmer/Trojaner u.s.w.Sogar die "ewido security suite" unter "Autostart" ist wieder angesprungen und hat geholfen zu löschen was der F-Secure nicht konnte (Der hat halt umbenannt-->ist aber auch OK)

FAZIT:

Läuft alles wieder Prima und werde mit Symantec erstmal nichts mehr machen!

FB1

PS: Die "ScheissTeile" haben meinen Ram so gut wie unbrauchbar gemacht. (1GB Geil DUALCHANNEL DDR400 PC3200 / 4x256 MB) --> Ohne Worte !?! -- Hoch und Runterfahren des PC macht wieder Spass und ich habe wieder Benchmarkwerte die meinem System gleich kommen.


Mein System: ABIT IC7 / P4 2,8C / RAM s.o./ Powercolor ATI X800 Pro u.s.w.

Na, hau Symantec in den nächsten Mülleimer.

Wenn du soviel Malware drauf hattest, dann wäre es interessant ob nicht noch unbekannte Malware auf deinen System ist.
Wäre also hilfreich, wenn du doch ein HijackThis-Log posten würdest: http://filepony.de/download-hijackthis/

Hallo Christian,

setze HiJackThis-Log heute Abend nach der Arbeit noch mal rein.

Danke

Bis dann

FB1

Hallo Christian,

Hier das Ergebnis von HiJackThis:

Logfile of HijackThis v1.97.7
Scan saved at 19:23:48, on 12.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\BackWeb-4476822.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\Program Files\Norton Utilities\NProtect.exe
C:\WINDOWS\System32\sokscmnt.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\Norton Utilities\SYSDOC32.EXE
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Documents and Settings\FB1\Desktop\Troclean\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...etaStream3.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...894.5076967593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab

--------------------------------------------------------------------------

Bis dann, ich schau nachher noch mal rein,

FB1

Dies kenne ich nicht: C:\WINDOWS\System32\sokscmnt.exe

Vielleicht kannst du ja mal die Datei an partytime-germany.ice@web.de
schicken?

Hi Christian,

habe mir die "Eigenschaften" der Datei anzeigen lassen und das soll mein externer Cardreader/writer (Seriell) sein. Das "mnt" oder mount im Dateinamen spricht auch dafür.

Voller Dateiname "Smart Card Office Kernel NT". Die Software zum Gerät heisst auch "Smart Card Reader" aber gute Augen, die habe ich gar nicht gesehen obwohl schon tausendmal raufgeschaut auf das .log.

Ist Dir nochwas aufgefallen, denn alle Tools melden-->SAUBER<--?

Möchte Montag das Offizielle XP SP2 über Autoupdate ziehen und installieren, trotz einiger SP2-Fehler verspreche ich mir was davon. Und dafür sollte das System sauber sein.

Aber da das mein Spielerechner ist, wird der in 2-3 Monaten sowieso vom Netz genommen, sobald der andere fertig ist. Soll ein Athlon64 3000 Barebone werden, der nur Internet machen soll. Weiss aber noch nicht was ich nehme (Shuttle/AOpen/ASUS/ABIT... usw.?) Wird auf jeden Fall mein erster AMD-Proz. Ich bin absoluter Intel -Fan, da die nicht abrauchen und das ist mir oder meinen Kunden auch noch nie passiert (Bin seit '96 im IT-Geschäft").
Aber das sollen ja die neueren AMD's ja auch nicht mehr-Bin sehr gespannt.

Trotzdem, coole Performance und geiles -Board-.Ich habe ne Menge gelernt aber bei der Anzahl an verschieden Würmern / Viren / Trojanern usw. verliert man ja schnell die Übersicht.

Ich bleib hier dabei und kann Dir nur nochmal danken !

Schönes WE

FB1

Na, ansonsten schaut es wirklich sauber aus.

Ich habe bezüglich dies noch gefunden:

C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\BackWeb-4476822.exe

http://www.reger24.de/prozesse/backWeb.exe.php

Vielleicht kann jemand dazu was sagen.
Das von Logitech solche Dateien verwendet werden ist mir bekannt.
Aber F-Secure??

Hallo Christian,

Zitat:

Zitat von *Christian*

Ich habe bezüglich dies noch gefunden:

C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\BackWeb-4476822.exe
Aber F-Secure??

Ich habe hier einen neu Installierten XP Rechner, gestern SP2 installiert, um mal zu sehen was so alles geht oder was nich.
Nach der Installation fand das Sicherheitscenter keinen Virenscanner
und empfahl unter anderem F-Secure nach dessen Installation meldete sich die Firewall "BackWeb-4476822.exe -> blocken??"
Seit dem ist sie im Taskmanager aktiv aber auch ein "Prozess beenden" hatte keine Auswirkungen auf F-Secure.

Lösch einfach die Datei im abgesicherten Modus!
Ist irgendso eine Datei, die automatisch nach Updates sucht.
Frag mich aber nicht genaueres.
Vielleicht kann dir ja der Support mehr erzählen ....

Hallo,

also BackWeb ist der Update Service von F-Secure Internet Security und F-Secure AntiVirus.

Da F-Secure jede Stunde wenn der Rechner online ist nach Updates schaut wird diese .exe benötigt.

Beendest DU diesen Prozess, kann F-Secure nicht automatisch nach Updates suchen und sich alleine aktualisieren.

Hoffe ich habe ein wenig Licht in Dein dunkel gebracht.

Mfg Kumpi2