Trojaner-Board - mcntrkdm und ZenoSearch(msnav32.ax) wie loswerden?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - mcntrkdm und ZenoSearch(msnav32.ax) wie loswerden? (https://www.trojaner-board.de/53409-mcntrkdm-zenosearch-msnav32-ax-loswerden.html)

mcntrkdm und ZenoSearch(msnav32.ax) wie loswerden?

Hallo zusammen,

da ich hier ganz neu bin, weiss ich nicht genau, ob ich hier richtig bin. Es schien mir aber das passenste Unterforum zu sein.
Sollte mein Beitrag hier falsch sein, bitte verschieben.

Mein System ist Windows XP SP2 und ich verwende seit Jahren AntiVir und dachte, alles sei gut; bis mich vor kurzer Zeit ein Bekannter darauf aufmerksam machte, dass es nicht nur Viren, sondern auch Trojaner und andere Bösewichte im Internet gibt (gehört hatte ich davon schon, dachte aber, dass AntiVir da schon aufpassen wird). Er empfahl mir das Programm Spybot. Nach dem ersten Update und dem darauffolgendem Scan war ich doch relativ erschrocken, da Spybot 126 Fehler / Schädlinge gefunden hat. Die meisten konnten repariert werden; mit zweien hab ich immer noch Ärger. Ich habe auch überlegt, das System neu aufzusetzen, musste diesen Gedanken aber wieder verwerfen, weil ich dann wochenlang damit beschäftigt wäre, die Software, Treiber etc. alle wieder zusammenzusammeln. Bei der Internetsuche bin ich dann auf dieses Board gestossen und hoffe nun, das System mit Eurer Hilfe wieder sauber zu bekommen.

Der erste Fehler, der immer wieder auftritt, ist folgender:
Spybot findet "ZenoSearch" und gibt die Datei C:\Windows\System32\msnav32.ax an (angeblich eine Textdatei). Der Fehler kann behoben werden und die Datei ist dann auch tatsächlich verschwunden.
Nach einem Neustart ist diese Datei jedoch sofort wieder da. Wie bekomme ich diesen Fehler dauerhaft weg?

Der zweite Fehler ist folgender:
Nach einigen Minuten Arbeit am PC (ob mit oder ohne Internetverbindung ist egal) warnt Spybot davor, dass ein Wert in der Registry (RegStartup) eingetragen werden soll. Zeitgleich piept AntiVir und meldet die Datei mcntrkdm.exe (im Verzeichnis System32) als Virus. Löschen kann AntiVir diese Datei nicht, aber umbenennen geht. Danach ist das Problem auch erstmal gelöst. Nach einem Neustart jedoch taucht dieses Problem wieder auf. Die Datei ist wieder da und will wieder in RegStartup eingetragen werden. Wie kann ich diesen Fehler dauerhaft beheben?

Nach der Beseitigung dieser beiden Fehler bin ich natürlich auch daran interessiert, den Rest des Systems mal genauer unter die Lupe zu nehmen. Ich habe aber kein Thema gefunden, in dem erläutert wird, wie man da am besten vorheht (vielleicht gibt es ja auch keine Pauschallösung). Wer weiss, was sich im Laufe der Zeit in der Registry und sonstwo noch alles angesammelt hat. Das Programm CCleaner habe ich mir schon geladen und es ausgeführt. Was kann ich noch tun? Gibt es vielleicht doch etwas im Forum und ich habe es noch nicht gefunden?

Vielen Dank erst einmal für das Lesen dieses (doch sehr lang gewordenen) Textes. Viellecht gelingt es uns ja, mein System etwas zu säubern.

Bis denne erstmal
Opop

Hallöle Opop und

:hallo:

Mache bitte zwei Scans mit SUperAntiSpyware so wie in der Anleitung beschrieben. Poste beide logs.

Räume danach mit CCleaner auf.

Poste danach bitte ein Hijackthis log.

Hallo UNDOREAL,

vielen Dank für die nette Begrüßung.

Leider kann ich erst jetzt antworten, da der Scan im abgesicherten Modus doch etwas lange gedauert hat.

Hier das Logfile des ersten Scans mit SUPERAntiSpyware:

Zitat:

SUPERAntiSpyware Scan Log
http://w*w.superantispyware.com

Generated 06/04/2008 at 10:22 AM

Application Version : 4.15.1000

Core Rules Database Version : 3473
Trace Rules Database Version: 1464

Scan type : Complete Scan
Total Scan Time : 00:48:43

Memory items scanned : 481
Memory threats detected : 0
Registry items scanned : 6084
Registry threats detected : 2
File items scanned : 54803
File threats detected : 8

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\XXX\Cookies\horst@adserver.trojaner-info[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\horst@as1.falkag[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\horst@worldwidemarketing.112.2o7[1].txt

Adware.Vundo Variant/Rel
HKLM\SOFTWARE\Microsoft\FCOVM
HKLM\SOFTWARE\Microsoft\RemoveRP

Unclassified.Unknown Origin
C:\DOKUMENTE UND EINSTELLUNGEN\XXX\LOKALE EINSTELLUNGEN\TEMP\KBDUMMY.1

Trojan.Unclassified/BrowserDriver
C:\WINDOWS\SYSTEM32\3056V\WVRAM13.EXE
C:\WINDOWS\SYSTEM32\JMWNW64J.EXE
C:\WINDOWS\SYSTEM32\JQWNW64M.EXE
C:\WINDOWS\SYSTEM32\RWWNW64D.EXE

Leider konnte ich das Logfile nicht, wie in der Anleitung beschrieben, erst sichern. Das Prog hat gleich Aktionen getätigt (Quarantäne).

Ein zweites Logfile (im abgesicherten Modus) hat das Prog nicht erstellt. Es zeigte aber an, dass keine Fehler / Probleme gefunden wurden. Auch konnte ich den SafeBoot-Haken nicht rausmachen, weil der schon raus war; kA wie das kam.

Die Reinigung mit CCleaner verlief ohne besondere Ereignisse.

HiJackThis hat folgendes Log ausgegeben:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke. :)
Sunny
[/edit]

Dieses SUPERAntiSpyware hat ja doch einiges mehr gefunden als SpyBot. Lohnt es sich, das Programm zu kaufen? SpyBot ist immerhin kostenlos.

Ich hoffe, dass nun nicht mehr so viele Probleme zu entdecken sind ;)

Was mache ich mit den Quarantäne-Files?

Vielen Dank erst einmal

Bis denne
Opop

Zitat:

Lohnt es sich, das Programm zu kaufen?

Nein. Die FreeVersion reicht zum scannen bei Verdacht. Die Pro Version installieren wir nur während der Bereinigung weil sie einige zusätzliche Features bietet.

Poste bitte noch das editierte HJT logFile.

Die SASW Quarantäne kannst du löschen.

Lösche bitte von Hand folgenden Ordner: C:\WINDOWS\SYSTEM32\3056V

Hi,

ich dachte, ich hätte alles editiert. Wie dem auch sei, hier das neue Logfile:

Zitat:

Lasse ich denn nun SUPERAntiSpyware drauf oder SpyBot? Oder beide?

Quarantänefiles und den Ordner 3056v hab' ich gelöscht.

Bis denne
Opop

Zitat:

Lasse ich denn nun SUPERAntiSpyware drauf oder SpyBot? Oder beide?

Ich würde beide wieder deinstallieren und bei Verdacht die Freeware Version von SASW mit den Einstellungen aus der Anleitung durchlaufen lassen.

Die Wächter sind nutzlos und bremsen das System unnötig aus!

Fixe bitte folgenden Eintrag mit HJT:

Zitat:

O20 - Winlogon Notify: nnnoMEtQ - nnnoMEtQ.dll (file missing)

Suche danach nach folgender Datei: nnnoMEtQ.dll

Sollte sie vorhanden sein lösche sie mit Avenger. Poste nach einem Neustart ein frisches HJT logfile.

Hi,

habe den Eintrag gefixt; aber ich habe die Datei nicht gefunden.

Hier ein neues HJT-Logfile:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:08, on 04.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\programme\asus\pc probe\AsusProb.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\HAMAS1~1\S1_2k.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hXXp://***.mersenne.org/status.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ASUS Probe] c:\programme\asus\pc probe\AsusProb.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [La_View Mouse] C:\PROGRA~1\HAMAS1~1\S1_2k.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-842925246-920026266-1343024091-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'postgres')
O4 - HKUS\S-1-5-21-842925246-920026266-1343024091-1006\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hXXp://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hXXp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127376454050
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - hXXp://***.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - hXXps://secure.logmein.com/activex/ractrl.cab?lmi=100
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PostgreSQL Database Server 8.2 (pgsql-8.2) - PostgreSQL Global Development Group - D:\PostgreSQL\8.2\bin\pg_ctl.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE

--
End of file - 6942 bytes

Bin mal gespannt, ob da noch was "gefährliches" drin ist ;)

Bis denne
Opop

Dein log ist sauber. ;)

Hey, das ist ja eine gute Nachricht :lach:

Vielen Dank für die schnelle und unkomplizierte Hilfe ! ! !

Wo ich aber gerade einen Fachmann "an der Angel" habe:

Zitat:

Warum empfiehlt jemand der Ahnung hat die komplette Deinstallation? Mit den Geschwindigkeitsverlusten könnte ich gut leben; und schlechter Schutz ist doch besser als gar keiner, oder?
Ohne diese Programme bekomme ich doch ga nicht erst den Verdacht, dass etwas nicht stimmt.

Und noch eine (zwei) Kleinigkeiten:

Zitat:

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE

Die Sonydateien müssen von meinem ehemaligen MP3-Player stammen. Man musste da die MP3 Dateien immer "anpassen". Den Player habe ich schon länger nicht mehr. Kann ich die Dateien einfach löschen und die Einträge mit HJT fixen (also löschen)?

Die Chipdrive -Dateien gehörten zu einer ehemaligen Bankkarte, die fürs Online-Banking erforderlich war. Da ich mittlerweile bei einer anderen Bank bin und die Karte samt Reader bei der alten Bank abgegeben habe, nutze ich das auch nicht mehr. Löschen und fixen?

Danke
Gruß
Opop

Zitat:

Die Chipdrive -Dateien gehörten zu einer ehemaligen Bankkarte, die fürs Online-Banking erforderlich war. Da ich mittlerweile bei einer anderen Bank bin und die Karte samt Reader bei der alten Bank abgegeben habe, nutze ich das auch nicht mehr. Löschen und fixen?

Klar.

Zitat:

Den Player habe ich schon länger nicht mehr. Kann ich die Dateien einfach löschen und die Einträge mit HJT fixen (also löschen)?

Jup.

Jeweils erst fixen dann löschen.

Zitat:

Warum empfiehlt jemand der Ahnung hat die komplette Deinstallation?

Weil die Programme wirklich nichts taugen und nur Geld kosten. Sie belasten deinen PC und zerfleddern sich gegenseitig.
Da geht es nicht nur um Geschwindigkeit sondern auch um Kompatibilitäten und sonstige Unannehmlichkeiten.

Zitat:

und schlechter Schutz ist doch besser als gar keiner, oder?

manchmal ist weniger mehr!