Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   nvsvcd.exe (https://www.trojaner-board.de/28641-nvsvcd-exe.html)

hexer 21.04.2006 05:31

nvsvcd.exe
 
Logfile of HijackThis v1.99.1
Scan saved at 05:13:43, on 21.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\vsnpstd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
D:\programme\mirc\Gamers.IRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\olli und dani\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\programme\icq 5\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe pro 6\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\programme\icq 5\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O8 - Extra context menu item: &AOL Toolbar-Suche - res://C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\programme\icq 5\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4672/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89EA5B97-F988-4072-AED7-098CC2E977C4}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Logitech, Inc. - (no file)
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Access Remote PC Service 4.1 (RpcSvr4x) - www.access-remote-pc.com - C:\Programme\Remote PC\Access Remote PC 4.1\rpcsetup.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

beim starten vom pc hat die datei eine fehler ich scanne jetzt mal alles dursch um hilfe wäre ich ich dankbar beid er auswertung der logfile da oben

hexer 21.04.2006 05:42

Datei: nvsvcd.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
W32/Methodbod.A - Packed gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan-Proxy.Win32.Horst.aj gefunden
NOD32
a variant of Win32/TrojanProxy.Horst.AJ gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden
habe mal durch gescannt wie geh ichw eiter vor jetzt

hexer 21.04.2006 05:59

das mal dat file
21.04.2006 05:00 2.206 wpa.dbl
15.04.2006 04:38 49.152 nvsvcd.exe
06.04.2006 21:48 5.143.456 MRT.exe
06.04.2006 03:16 2.550 Uninstall.ico
06.04.2006 03:16 1.406 Help.ico
27.03.2006 09:10 312.946 perfh009.dat
27.03.2006 09:10 40.664 perfc009.dat
27.03.2006 09:10 49.028 perfc007.dat
27.03.2006 09:10 318.106 perfh007.dat
27.03.2006 09:10 728.442 PerfStringBackup.INI
24.03.2006 15:27 847.872 ArcaOnline.dll
22.03.2006 17:46 2.702.336 MSHTML.DLL
22.03.2006 03:29 612.352 xpsp2res.dll
21.03.2006 15:36 1.339.392 SHDOCVW.DLL
17.03.2006 07:03 8.392.192 shell32.dll

dartus 21.04.2006 23:28

Hallo hexer,

da der Trojaner über Backdoor-Funktionaltität verfügt, ist dringend zur Neuinstallationanzuraten.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Botnet

Empfohlene Anleitung zur Neuinstallation:
http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung
http://www.trojaner-board.de/showpos...8&postcount=11

dartus

hexer 22.04.2006 08:12

gibts da keine andere möglichkeit als neu instalation

waldmensch2712 22.04.2006 13:56

@dartus
ich hab den backdoor-trojaner auch so eleminiert
neuinstallation ist immer das einfachste
es geht auch anders

mein tip (hat bei mir funktioniert)

auf hijackthis-homepage logfile auswertenlassen und alles fixen was nicht gut ist

bei mir hats geholfen

probieren denk ich ist besser als system gelich neu aufsetzen

Wildone 22.04.2006 14:05

@waldmensch2712
Das man ein paar registryeinträge und Dateien löschen kann, ist hier durchaus bekannt. Aber ist damit das Problem beseitigt, welche Dateien wurden vnoch geändert? Welche Hintertürchen geöffnet? Vielleicht wurde noch ein Rootkit nachgeladen. Hast du die links von dartus eigentlich gelesen? Ich kann es mir eigentlich nicht vorstellen, den dann hättest du dieses Posting nicht verfasst.



Grüße Wildone

Sunny 22.04.2006 14:05

Ich glaube du hättest den Rat von DARTUS befolgen sollen! Mit dem reinen fixen von hijack ist es bei diesem BackdoorTrojaner NICHT getan.
Ich habe vorige Woche genau den gleichen im System gehabt, und habe mich durch meine Registrierung geackert, Killbox verwenden müssen mehrere Male den doch unmöglichen Versuch mein System wieder "vertrauenswürdig hinzubekommen. Nur weil die nsvcd.exe gelöscht ist, bzw. wie in deinem Falle nur gefixt wurde, ist dein System weiterhin gnadenlos kompromitiert..
Erstell mal spaßenshalber ein HijackLog, und deinstalliere Deine Anti-Virensoftware! Danach kannst du ja dein Anti-Vir wieder installieren (sofern das dann noch möglich ist)
Ich will dir keine Moralpredigt halten, aber ich hab es mehr als ausgetestet das das System nach diesem Trojaner völlig verseucht ist... Sofern Du einen Router hast, überprüfe mal die LOGS bzw. deine Verbindung, kann sein das es da auch schon etliche Angriffe gegeben hat...
(Dies war zumindest bei mir der Fall .. )

Ich rate dir dringenst dein System neu zu installieren...und zwar gründlich!

EDIT: @Wildone- Ja, auch ein Rottkit war installiert, welches ich aber entfernen konnte!

waldmensch2712 22.04.2006 18:18

nun sagt mir mal eins
und versteht mich nicht falsch
wenn bei mir kein diagnosetool und auch hijack ,norton usw ich hab etliche
kein vierenscanner ob meiner oder online
onlineanalyse von symantec usw
was finden,
WARUM SOLL ICH REAGIEREN

oder kennt ihr noch eine möglichkeit, angriffsstellen festzustellen ???

ich bin zwar erst neu hier, aber manchmal komm ich mir vor wie bei der vogelgrippe

das war ironisch gemeint

ich mein nur : aufwand und nutzen

wo nix ist , oder ist da was ?

sorry Peter

waldmensch2712 22.04.2006 18:23

ps hab antivier neu installiert null problemo

Markus1234 22.04.2006 18:32

Es wurde bereits erwähnt!

Viren sind schadhafte Programme die absolut alles umschreiben können.
Wer weiß wieviele Hintertürchen nur in deinem System geöffnet wurden!

Antivirenprogramme entfernen zwar die Viren, aber machen deren Aktionen keinesfalls rückgängig! Und für diese Aktionen sind Trojaner nunmal ausgerichtet.

Nun erklärst DU mir bitte wieso du der einzigste überhaupt sein sollst bei dem das anders ist!

mfg,
Markus

Sunny 22.04.2006 18:34

Zitat:

Zitat von waldmensch2712
WARUM SOLL ICH REAGIEREN

Warum hab ich dir schon mehrfach zu Verstehen gegeben! :headbang:

Zitat:

Zitat von Waldmensch2712
oder kennt ihr noch eine möglichkeit, angriffsstellen festzustellen ???

Dein ganzer Rechner scheint eine ANGRIFFSSTELLE zu sein bzw. zu werden!

Zitat:

Zitat von Waldmensch2712
oder ist da was ?

Hast du es denn mal ausprobiert deine Antiviren-Software zu deinstallieren?
Hast du Deine Registrierung mal durchgesehen wieviele Einträge dort verändert wurden/sind?

Ich empfinde das Aufsetzen des Systems nicht als Aufwendig, sondern eher als Absicherung gegen das:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Tu was du für richtig hälst...

Gruß
Daniel

The Saint 22.04.2006 21:18

An waldmensch2712 und hexer!

Wills man ganz hart ausdrücken.

Stell dir mal vor die Kriminalpolizei klopft an deiner Haustür und die Handschellen klicken!

Weißt du auch warum?

Ganz einfach deine Rechner wurde missbraucht für Kinderpornos und anderen strafbaren Delikten.

Also ist eine Neuinstallation immer noch besser als sich solchen Ärger aufzuhalsen.

hexer 23.04.2006 18:57

irgendwie hatse recht habe gestern format gemacht die nacht ist besser und siehe da alels sauber und neu


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19