|
Hallo, hatte, obwohl NortonAntivirus die erste mit dem Swen-Virus eingegangene Mail abgefangen und isoliert hatte und ich mit Sicherheit auch keine weiteren heruntergeladen oder geöffnet hatte, in C:\_restore eine Datei vom Swen-Virus. Diesen hatte ich mit dem Antiswen-Cleaner von Trojaner-Info erfolgreich beseitigt. Einzige Folge von "Swen" war, dass mein NortonAntivirus nicht mehr lief und auch die Neuinstallation keine dauerhaften Erfolge brachte. Jetzt funzt NAV zwar wieder, hat aber beim Handling Macken(z.B. Start des NAV-Menues). Deshalb stelle ich hier mal meinen HjThis-Report für Fachleute zur Diskussion , ob nicht noch fragwürdige Einträge ersichtlich sind: Logfile of HijackThis v1.97.7 Scan saved at 14:19:58, on 15.01.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\PTSNOOP.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\PROGRAMME\ONLINECOUNTER 2004\ONLINECOUNTER.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de F1 - win.ini: load=ptsnoop.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {7D1FD2B7-1877-451F-95CD-0CAC38C104C5} - C:\PROGRAMME\INTERNETSAMMLER\ISSHELL.DLL O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: InternetSammler-Bearbeitungsleiste - {3FE23F63-28D9-4986-A086-87D2FE07848B} - C:\PROGRAMME\INTERNETSAMMLER\ISSHELL.DLL O3 - Toolbar: InternetSammler-Symbolleiste - {9724B1CB-4E72-41A9-953E-EBCEA61DD819} - C:\PROGRAMME\INTERNETSAMMLER\ISSHELL.DLL O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Link-Adresse mit InternetSammler ¬ieren... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#110 O8 - Extra context menu item: Bild mit InternetSammler ein&ordnen/speichern... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#108 O8 - Extra context menu item: Bild mit InternetSammler &speichern - res://C:\PROGRA~1\INTERN~2\isshell.dll/#101 O8 - Extra context menu item: Markierung mit InternetSammler &speichern - res://C:\PROGRA~1\INTERN~2\isshell.dll/#104 O8 - Extra context menu item: Markierung mit InternetSammler ein&ordnen/speichern... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#109 O8 - Extra context menu item: Seitenbereich (Frame) mit InternetSammler &speichern - res://C:\PROGRA~1\INTERN~2\isshell.dll/#102 O8 - Extra context menu item: Seitenbereich (Frame) mit InternetSammler ein&ordnen/speichern... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#106 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...937.5357407407 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab [ 15. Januar 2004, 17:10: Beitrag editiert von: horoc ] |
Sieht für meinen Geschmack sauber aus, aber... MSIE: Internet Explorer v5.50 (5.50.4134.0100) Den würde ich durch IE 6 SP1 ersetzen, besser noch durch einen sicheren Browser (Mozilla, Firebird, K-Meleon, Opera). Wenn du nochmal den "C:\_restore"-Ordner komplett leerräumen willst, kannst du die Systemwiederherstellung deaktivieren, dann Neustart, dann wieder aktivieren. http://www.systemwiederherstellung-d...html#Windows98 Fragt sich nur, ob dieses Fehlverhalten von NAV überhaupt mit dem gelöschten SWEN im Systemwiederherstellungs-Ordner zu tun hat. Scheint mir eher unwahrscheinlich. Eine bugverseuchte Software (NAV) auf einem im Grunde labilen Betriebssystem (WinME) zu installieren, kann erfahrungsgemäß früher oder später zu Problemen führen. |
Moin, diese Datei erscheint mir zumindest verdächtig: C:\WINDOWS\PTSNOOP.EXE Lass die doch mal bei Kaspersky checken: http://www.kaspersky.com/de/remoteviruschk.html tschööö, DerBilk |
Nutze den IE nur noch in Ausnahmefällen, ansonsten immer Mozilla Firebird und Zum Mailen Gemail. Denke, bin da auf der relativ sicheren Seite. Die Systemwiederherstellung werde ich leerräumen und dann mal weitersehen. Wenn NAV weiter störrisch bleibt, unter PX läuft es problemlos, werde ich mich wohl langfristig davon trennen, denn WinME gebe ich unter keinen Umständen auf. |
Gute Idee, denn es könnte theoretisch der Trojaner PTSNOOP sein. In diesem Fall sollte die Datei allerdings im "windows\system"-Ordner liegen. |
Ptsnoop kann auch ein Treiber für Softmodems(?) sein! So ists jedenfalls bei meinem Notebook. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Deswegen schrieb ich auch verdächtig. ;) Ich denke, im Zweifel lieber eine Datei zuviel checken, als zu wenig... tschööö, DerBilk |
PTsnoop stand öfter schon mal zur Debatte. Gehört aber tatsächlich zum internen Modem und ist bei der letzten Neuinstallation von ME und der zugehörigen Software und Treiber auch wieder auf dem PC gekommen. Hat eine Überwachungsfunktion. Obs auch ohne geht, hab ich noch nicht probiert. Übrigens sagte Kaspersky: ok [ 15. Januar 2004, 17:48: Beitrag editiert von: horoc ] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board