|
nvsvcd.exe Logfile of HijackThis v1.99.1 Scan saved at 05:13:43, on 21.04.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\vsnpstd.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\WINDOWS\System32\taskmgr.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe D:\programme\mirc\Gamers.IRC\mirc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\olli und dani\Desktop\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\programme\icq 5\ICQToolbar\toolbaru.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe pro 6\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file) O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\programme\icq 5\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O8 - Extra context menu item: &AOL Toolbar-Suche - res://C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\programme\icq 5\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4672/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{89EA5B97-F988-4072-AED7-098CC2E977C4}: NameServer = 205.188.146.145 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Logitech, Inc. - (no file) O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Access Remote PC Service 4.1 (RpcSvr4x) - www.access-remote-pc.com - C:\Programme\Remote PC\Access Remote PC 4.1\rpcsetup.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe beim starten vom pc hat die datei eine fehler ich scanne jetzt mal alles dursch um hilfe wäre ich ich dankbar beid er auswertung der logfile da oben |
Datei: nvsvcd.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus W32/Methodbod.A - Packed gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Proxy.Win32.Horst.aj gefunden NOD32 a variant of Win32/TrojanProxy.Horst.AJ gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden habe mal durch gescannt wie geh ichw eiter vor jetzt |
das mal dat file 21.04.2006 05:00 2.206 wpa.dbl 15.04.2006 04:38 49.152 nvsvcd.exe 06.04.2006 21:48 5.143.456 MRT.exe 06.04.2006 03:16 2.550 Uninstall.ico 06.04.2006 03:16 1.406 Help.ico 27.03.2006 09:10 312.946 perfh009.dat 27.03.2006 09:10 40.664 perfc009.dat 27.03.2006 09:10 49.028 perfc007.dat 27.03.2006 09:10 318.106 perfh007.dat 27.03.2006 09:10 728.442 PerfStringBackup.INI 24.03.2006 15:27 847.872 ArcaOnline.dll 22.03.2006 17:46 2.702.336 MSHTML.DLL 22.03.2006 03:29 612.352 xpsp2res.dll 21.03.2006 15:36 1.339.392 SHDOCVW.DLL 17.03.2006 07:03 8.392.192 shell32.dll |
Hallo hexer, da der Trojaner über Backdoor-Funktionaltität verfügt, ist dringend zur Neuinstallationanzuraten. http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html http://en.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Botnet Empfohlene Anleitung zur Neuinstallation: http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung http://www.trojaner-board.de/showpos...8&postcount=11 dartus |
gibts da keine andere möglichkeit als neu instalation |
@dartus ich hab den backdoor-trojaner auch so eleminiert neuinstallation ist immer das einfachste es geht auch anders mein tip (hat bei mir funktioniert) auf hijackthis-homepage logfile auswertenlassen und alles fixen was nicht gut ist bei mir hats geholfen probieren denk ich ist besser als system gelich neu aufsetzen |
@waldmensch2712 Das man ein paar registryeinträge und Dateien löschen kann, ist hier durchaus bekannt. Aber ist damit das Problem beseitigt, welche Dateien wurden vnoch geändert? Welche Hintertürchen geöffnet? Vielleicht wurde noch ein Rootkit nachgeladen. Hast du die links von dartus eigentlich gelesen? Ich kann es mir eigentlich nicht vorstellen, den dann hättest du dieses Posting nicht verfasst. Grüße Wildone |
Ich glaube du hättest den Rat von DARTUS befolgen sollen! Mit dem reinen fixen von hijack ist es bei diesem BackdoorTrojaner NICHT getan. Ich habe vorige Woche genau den gleichen im System gehabt, und habe mich durch meine Registrierung geackert, Killbox verwenden müssen mehrere Male den doch unmöglichen Versuch mein System wieder "vertrauenswürdig hinzubekommen. Nur weil die nsvcd.exe gelöscht ist, bzw. wie in deinem Falle nur gefixt wurde, ist dein System weiterhin gnadenlos kompromitiert.. Erstell mal spaßenshalber ein HijackLog, und deinstalliere Deine Anti-Virensoftware! Danach kannst du ja dein Anti-Vir wieder installieren (sofern das dann noch möglich ist) Ich will dir keine Moralpredigt halten, aber ich hab es mehr als ausgetestet das das System nach diesem Trojaner völlig verseucht ist... Sofern Du einen Router hast, überprüfe mal die LOGS bzw. deine Verbindung, kann sein das es da auch schon etliche Angriffe gegeben hat... (Dies war zumindest bei mir der Fall .. ) Ich rate dir dringenst dein System neu zu installieren...und zwar gründlich! EDIT: @Wildone- Ja, auch ein Rottkit war installiert, welches ich aber entfernen konnte! |
nun sagt mir mal eins und versteht mich nicht falsch wenn bei mir kein diagnosetool und auch hijack ,norton usw ich hab etliche kein vierenscanner ob meiner oder online onlineanalyse von symantec usw was finden, WARUM SOLL ICH REAGIEREN oder kennt ihr noch eine möglichkeit, angriffsstellen festzustellen ??? ich bin zwar erst neu hier, aber manchmal komm ich mir vor wie bei der vogelgrippe das war ironisch gemeint ich mein nur : aufwand und nutzen wo nix ist , oder ist da was ? sorry Peter |
ps hab antivier neu installiert null problemo |
Es wurde bereits erwähnt! Viren sind schadhafte Programme die absolut alles umschreiben können. Wer weiß wieviele Hintertürchen nur in deinem System geöffnet wurden! Antivirenprogramme entfernen zwar die Viren, aber machen deren Aktionen keinesfalls rückgängig! Und für diese Aktionen sind Trojaner nunmal ausgerichtet. Nun erklärst DU mir bitte wieso du der einzigste überhaupt sein sollst bei dem das anders ist! mfg, Markus |
Zitat:
Zitat:
Zitat:
Hast du Deine Registrierung mal durchgesehen wieviele Einträge dort verändert wurden/sind? Ich empfinde das Aufsetzen des Systems nicht als Aufwendig, sondern eher als Absicherung gegen das: http://www.trojaner-info.de/beschreibung.shtml http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Trojaner_%28Computer%29 Tu was du für richtig hälst... Gruß Daniel |
An waldmensch2712 und hexer! Wills man ganz hart ausdrücken. Stell dir mal vor die Kriminalpolizei klopft an deiner Haustür und die Handschellen klicken! Weißt du auch warum? Ganz einfach deine Rechner wurde missbraucht für Kinderpornos und anderen strafbaren Delikten. Also ist eine Neuinstallation immer noch besser als sich solchen Ärger aufzuhalsen. |
irgendwie hatse recht habe gestern format gemacht die nacht ist besser und siehe da alels sauber und neu |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:04 Uhr. |
Copyright ©2000-2025, Trojaner-Board