Hallo, hatte, obwohl NortonAntivirus die erste mit dem Swen-Virus eingegangene Mail abgefangen und isoliert hatte und ich mit Sicherheit auch keine weiteren heruntergeladen oder geöffnet hatte, in C:\_restore eine Datei
vom Swen-Virus. Diesen hatte ich mit dem Antiswen-Cleaner von Trojaner-Info erfolgreich beseitigt.
Einzige Folge von "Swen" war, dass mein NortonAntivirus nicht mehr lief und auch die Neuinstallation keine dauerhaften Erfolge brachte. Jetzt funzt NAV zwar wieder, hat aber beim Handling Macken(z.B. Start des NAV-Menues).
Deshalb stelle ich hier mal meinen HjThis-Report für Fachleute zur Diskussion , ob nicht noch fragwürdige Einträge ersichtlich sind:

Logfile of HijackThis v1.97.7
Scan saved at 14:19:58, on 15.01.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\ONLINECOUNTER 2004\ONLINECOUNTER.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {7D1FD2B7-1877-451F-95CD-0CAC38C104C5} - C:\PROGRAMME\INTERNETSAMMLER\ISSHELL.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: InternetSammler-Bearbeitungsleiste - {3FE23F63-28D9-4986-A086-87D2FE07848B} - C:\PROGRAMME\INTERNETSAMMLER\ISSHELL.DLL
O3 - Toolbar: InternetSammler-Symbolleiste - {9724B1CB-4E72-41A9-953E-EBCEA61DD819} - C:\PROGRAMME\INTERNETSAMMLER\ISSHELL.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Link-Adresse mit InternetSammler &notieren... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#110
O8 - Extra context menu item: Bild mit InternetSammler ein&ordnen/speichern... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#108
O8 - Extra context menu item: Bild mit InternetSammler &speichern - res://C:\PROGRA~1\INTERN~2\isshell.dll/#101
O8 - Extra context menu item: Markierung mit InternetSammler &speichern - res://C:\PROGRA~1\INTERN~2\isshell.dll/#104
O8 - Extra context menu item: Markierung mit InternetSammler ein&ordnen/speichern... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#109
O8 - Extra context menu item: Seitenbereich (Frame) mit InternetSammler &speichern - res://C:\PROGRA~1\INTERN~2\isshell.dll/#102
O8 - Extra context menu item: Seitenbereich (Frame) mit InternetSammler ein&ordnen/speichern... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#106
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...937.5357407407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

[ 15. Januar 2004, 17:10: Beitrag editiert von: horoc ]

Sieht für meinen Geschmack sauber aus, aber...

MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Den würde ich durch IE 6 SP1 ersetzen, besser noch durch einen sicheren Browser (Mozilla, Firebird, K-Meleon, Opera).

Wenn du nochmal den "C:\_restore"-Ordner komplett leerräumen willst, kannst du die Systemwiederherstellung deaktivieren, dann Neustart, dann wieder aktivieren.
http://www.systemwiederherstellung-d...html#Windows98

Fragt sich nur, ob dieses Fehlverhalten von NAV überhaupt mit dem gelöschten SWEN im Systemwiederherstellungs-Ordner zu tun hat.

Scheint mir eher unwahrscheinlich.

Eine bugverseuchte Software (NAV) auf einem im Grunde labilen Betriebssystem (WinME) zu installieren, kann erfahrungsgemäß früher oder später zu Problemen führen.

Moin,

diese Datei erscheint mir zumindest verdächtig:
C:\WINDOWS\PTSNOOP.EXE
Lass die doch mal bei Kaspersky checken: http://www.kaspersky.com/de/remoteviruschk.html

tschööö, DerBilk

Nutze den IE nur noch in Ausnahmefällen, ansonsten immer Mozilla Firebird und Zum Mailen Gemail.
Denke, bin da auf der relativ sicheren Seite.
Die Systemwiederherstellung werde ich leerräumen und dann mal weitersehen. Wenn NAV weiter störrisch bleibt, unter PX läuft es problemlos, werde ich mich wohl langfristig davon trennen, denn WinME gebe ich unter keinen Umständen auf.

Gute Idee, denn es könnte theoretisch der Trojaner PTSNOOP sein.
In diesem Fall sollte die Datei allerdings im "windows\system"-Ordner liegen.

Ptsnoop kann auch ein Treiber für Softmodems(?) sein! So ists jedenfalls bei meinem Notebook.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Deswegen schrieb ich auch verdächtig.
Ich denke, im Zweifel lieber eine Datei zuviel checken, als zu wenig...

tschööö, DerBilk

PTsnoop stand öfter schon mal zur Debatte. Gehört aber tatsächlich zum internen Modem und ist bei der letzten Neuinstallation von ME und der zugehörigen Software und Treiber auch wieder auf dem PC gekommen. Hat eine Überwachungsfunktion. Obs auch ohne geht, hab ich noch nicht probiert.
Übrigens sagte Kaspersky: ok

[ 15. Januar 2004, 17:48: Beitrag editiert von: horoc ]