Extremproblem mit 2 exe Dateien
 

Habe folgendes Problem mit 2 exe Dateinen und zwar:

Seit einiger Zeit findet NAV 20004 des öfteren die Datei "svsys32.exe" die er der Gruppe W32.HLLW.Gaobot zuordet aber net wirklich Dauerhaft entfernen kann. Seit heut taucht auch noch die Datei mssvc32.exe auf.
Bei der manuellen Suche nach den beiden Dateien bin ich dahinter gekommen das die 2 Dateien immer im Zusammenhang mit einen "testfile" auftauchen.

Habs schon mit den Removal Tool das Symantec dazu anbietet probiert, hat aber nix gebracht bzw gefunden.
Ebenso wie die Versuche die Dateien mit CWShredder, hijackthis, Spybot uund oder Ad aware zu entfernen.
Alles bisher ohne Erfolg.
Weder im Normalbetrieb noch im Abgesicherten Modus bin ich die Dateien auf Dauer losgeworden.

Achja Betriebssystem ist Win XP Home

Hab die Dateinen auch schon in der Registery gefunden und samt den Schüssel gelöscht aber nach einiger Zeit sind die wieder da. :headbang:

Wäre für Hilfe zu meinen Problem sehr Froh.

Mfg. gimondi

Hallo gimondi,

ist Dein Betriebssystem auf dem aktuellen Stand: http://v4.windowsupdate.microsoft.com/de/default.asp

Virus-Information: www.sophos.de und www.trendmicro.com

Du kannst einen online-scan auf Deinem System durchführen. Eine Auswahl davon findest Du hier

Viel Erfolg!
SD

Ja Betriebssystem ist aufn aktuellen Stand.

Vielen Dank für den Link zu den online scanns, bringen aber auch nix die hab ich schon vorige Woche alle ausprobiert.

Momentan is ja wieder mal Ruhe da ich ja die Dateien im abgesichertenn Modus aus der Registery entfernt habe. Fragt sich nur wielange es so bleibt :confused:

Mfg. gimondi

Poste bitte ein LogFile von TCPView und HijackThis:

http://www.sysinternals.com/ntw2k/source/tcpview.shtml
http://www.trojaner-board.de/51130-a...ijackthis.html

So hier bitte sehr mal die gewünschten Logs

gfile of HijackThis v1.98.2
Scan saved at 13:58:04, on 20.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\twain_32\A4CIS\WATCH.exe
C:\Programme\ICQ\ICQ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.deu.chello.at/upcmnfc/st...8/8980302.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://subscriber.chello.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.www.chello.at:8080
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Uptime-Project] C:\client.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/packages/GSManager.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yaho...tocomplete.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.communities.msn.com/contro...C/MsnPUpld.cab
O16 - DPF: {E3489C0D-D07D-4281-A4A7-ADA8E9A0893F} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...82/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://sc.communities.msn.com/contro.../msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6B4BAFF-81A3-472E-94EA-2E472C74C95D}: NameServer = 195.34.133.10,195.34.133.11

und der zweite gewünschte Log

[System Process]:0 TCP gigahertz2.chello.at:netbios-ssn chello062178016230.6.11.vie.surfer.at:1099 TIME_WAIT
[System Process]:0 TCP gigahertz2.chello.at:1713 ads.web.aol.com:http TIME_WAIT
[System Process]:0 TCP gigahertz2.chello.at:1714 ads.web.aol.com:http TIME_WAIT
[System Process]:0 TCP gigahertz2.chello.at:1716 ads.web.aol.com:http TIME_WAIT
[System Process]:0 TCP gigahertz2.chello.at:1717 ads.web.aol.com:http TIME_WAIT
[System Process]:0 TCP gigahertz2.chello.at:netbios-ssn chello062178208152.1.15.univie.teleweb.at:3024 TIME_WAIT
[System Process]:0 TCP gigahertz2.chello.at:1718 chello062178208199.1.15.vie.surfer.at:netbios-ssn TIME_WAIT
[System Process]:0 TCP gigahertz2.chello.at:netbios-ssn chello062178016230.6.11.vie.surfer.at:3109 TIME_WAIT
[System Process]:0 TCP gigahertz2.chello.at:1720 ads.web.aol.com:http TIME_WAIT
[System Process]:0 TCP gigahertz2.chello.at:1721 ads.web.aol.com:http TIME_WAIT
[System Process]:0 TCP gigahertz2.chello.at:pptp ads.web.aol.com:http TIME_WAIT
[System Process]:0 TCP gigahertz2.chello.at:1724 ads.web.aol.com:http TIME_WAIT
[System Process]:0 TCP gigahertz2.chello.at:netbios-ssn chello062178016230.6.11.vie.surfer.at:1509 TIME_WAIT
ccApp.exe:1084 TCP Gigahertz2:1063 Gigahertz2:0 LISTENING
Icq.exe:2344 TCP Gigahertz2:1081 Gigahertz2:0 LISTENING
Icq.exe:2344 TCP Gigahertz2:11374 Gigahertz2:0 LISTENING
Icq.exe:2344 TCP gigahertz2.chello.at:1081 205.188.11.220:5190 ESTABLISHED
Icq.exe:2344 TCP gigahertz2.chello.at:11374 p83.129.98.148.tisdip.tiscali.de:64890 ESTABLISHED
IEXPLORE.EXE:3308 UDP Gigahertz2:1548 *:*
IEXPLORE.EXE:4020 UDP Gigahertz2:1112 *:*
lsass.exe:796 UDP Gigahertz2:isakmp *:*
msmsgs.exe:468 UDP Gigahertz2:1725 *:*
msmsgs.exe:468 UDP gigahertz2.chello.at:64924 *:*
msmsgs.exe:468 TCP gigahertz2.chello.at:9693 Gigahertz2:0 LISTENING
msmsgs.exe:468 UDP gigahertz2.chello.at:12395 *:*
SAgent2.exe:1848 TCP Gigahertz2:1026 Gigahertz2:0 LISTENING
svchost.exe:1092 TCP Gigahertz2:1025 Gigahertz2:0 LISTENING
svchost.exe:1092 UDP gigahertz2.chello.at:ntp *:*
svchost.exe:1092 UDP Gigahertz2:ntp *:*
svchost.exe:1092 TCP gigahertz2.chello.at:1025 extremo_pool_11938-105.etb.net.co:3280 ESTABLISHED
svchost.exe:1364 UDP Gigahertz2:1031 *:*
svchost.exe:1396 TCP Gigahertz2:5000 Gigahertz2:0 LISTENING
svchost.exe:1396 UDP gigahertz2.chello.at:1900 *:*
svchost.exe:1396 UDP Gigahertz2:1900 *:*
svchost.exe:960 TCP Gigahertz2:epmap Gigahertz2:0 LISTENING
svchost.exe:960 TCP gigahertz2.chello.at:epmap chello062178208152.1.15.univie.teleweb.at:1290 ESTABLISHED
svchost.exe:960 TCP gigahertz2.chello.at:epmap chello062178208152.1.15.univie.teleweb.at:2302 ESTABLISHED
System:4 TCP Gigahertz2:microsoft-ds Gigahertz2:0 LISTENING
System:4 TCP Gigahertz2:1044 Gigahertz2:0 LISTENING
System:4 TCP gigahertz2.chello.at:netbios-ssn Gigahertz2:0 LISTENING
System:4 UDP Gigahertz2:microsoft-ds *:*
System:4 UDP gigahertz2.chello.at:netbios-ns *:*
System:4 UDP gigahertz2.chello.at:netbios-dgm *:*
System:4 TCP gigahertz2.chello.at:netbios-ssn chello062178208152.1.15.univie.teleweb.at:3590 ESTABLISHED
System:4 TCP gigahertz2.chello.at:netbios-ssn chello062178016230.6.11.vie.surfer.at:1897 ESTABLISHED
YPager.exe:868 TCP Gigahertz2:1058 Gigahertz2:0 LISTENING
YPager.exe:868 TCP Gigahertz2:5101 Gigahertz2:0 LISTENING
YPager.exe:868 TCP gigahertz2.chello.at:1058 cs39.msg.dcn.yahoo.com:5050 ESTABLISHED
YPager.exe:868 UDP Gigahertz2:1069 *:*


Mfg. gimondi