Ist das ein Virus?

[Hajooo]

Hallo,

auf nem Rechner mit Win XP Home ist der Norton Antivirus am 24.10.2004 abgelaufen.

(war beim PC als Testversion dabei)

ZoneAlarm läuft als Firewall!

Jetzt ist aber der Windows Explorer und er IE nicht erreichbar!

Die Internetverbindung funzt natürlich auch nicht mehr.

Kein Zugriff auf die Netzwerkumgebung.

Kein Zugriff auf den Arbeitsplatz.

Meine Idee war den AntiVir für Windows von www.Free-Av.de zu installieren.

Dazu müsste ich aber auf den Explorer zugreifen!

AdAware oder HiJackThis oder Spybot geht auch nicht,

bzw. wie soll ich das machen?

Also...

was ist das für ein Virus?

und wie bekomme ich ihn wieder weg?

Thx +

Gruß Hajooo

[DarkSchlumpf]

Hallo,

Jetzt ist aber der Windows Explorer und er IE nicht erreichbar!

Kein Zugriff auf die Netzwerkumgebung.

Hallo!

Was meinst Du mit "nicht erreichbar"? Kommt eine Fehlermeldung? Sind die Symbole einfach weg? Steht was im Ereignisprotokoll?

Mehr input

Gruß

[Hajooo]

Hallo,

ich kann den Explorer oder den Arbeitsplatz zwar anwählen,

aber dann sehe ich kurz den Ansatz eines Fensters, der Desktop verschwindet -> nur noch der Blaue Desktophintergrund, jetzt geht es wieder auf den desktop zurück.

Fertig !

Im Anwendungsprotokoll steht ein Fehler:

TrueVector Service

Ereigniskennung 5007

Gruß Hajooo

[Chief Wiggum]

läuft der abgesicherte Modus?

Wenn, dann mal darüber starten und das System scannen.

[FMG]

@Chief Wiggum

Der TrueVector Service ist eine Komponente von ZomeAlarm - da wird auch kein abgesicherter Modus helfen.

Das Problem scheint laut Recherche im Forum von Zonelabs (http://forum.zonelabs.org/zonelabs/board/message?board.id=gen&message.id=18204) beim Norton Antivirus zu liegen, was anscheinend irgendwelche Sachen von ZA zerschießt.

Deinstalliere beides mal, lade die aktuelle Version von ZA von zonelabs.com runter und installiere ZA dann.

[Hajooo]

Hallo,

der Versuch einen anderen DateiCommander zu installieren schlug fehl.

Aber Start > ausführen hat mich gerettet!

Damit konnte ich Dateien ausführen, kopieren etc.

Der abgesicherte Modus war auch hilfreich , jetzt habe ich wieder vollzugriff auf den PC

ZoneAlarm habe ich gelöscht und der Fehler

TrueVector Service Ereigniskennung 5007

ist auch weg

Firewall und Antivirus macht jetzt Norton.

Nachdem ich mit AdAware, Spybot, Antivir und Norton Antivirus genug Viren, Trojaner, etc. entfernt habe, habe ich mal eine HiJackThis Logfile erstellt!

>>>

Logfile of HijackThis v1.98.2

Scan saved at 01:24:50, on 13.01.2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\VTTimer.exe

C:\WINDOWS\System32\carpserv.exe

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe

C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Programme\Messenger\MSMSGS.EXE

C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\msiexec.exe

C:\WINDOWS\System32\wuauclt.exe

D:\SOFTWARE\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-mdude

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-mdude

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-mdude

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-mdude

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0C6FF027-5813-4B57-940A-728B89DD6BAA} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {9422AA55-F65C-4EB2-931C-1F35B4F5128F} - (no file)

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {EBCC3AC1-E2F9-423D-B578-350AE1B14E11} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {9EAC0102-5E61-2312-BC2D-544243544243} - (no file)

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [urlLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background

O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll

O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.cab

O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab

O21 - SSODL: Trayz - {F5B7D0BE-5f02-4211-96DB-386DFA244900} - (no file)

>>>

Wo sind noch Probleme?

Soweit funzt der PC.

Thx +

Gruß Hajooo

[DarkSchlumpf]

Sieht soweit von den Prozessen imho sauber aus. Kannst das log auf http://www.hijackthis.de noch auswerten lassen, da meckert er noch ein paar Reg Einträge an. Die noch evtl. rauslöschen, sofern sie nicht gewollt sind und Dein System sollte wieder sauber sein.

Gruß

[Hajooo]

Hallo,

laut der Hijackthis Website habe ich jetzt die Probleme gefixt.

Der PC läuft auch noch

War schon ein Stück arbeit :beagolisc

Neu aufsetzen hätte auch nicht länger gedauert

Danke an Alle

:e@sy

Gruß Hajooo

[cane]

Du soilltest die PCs von vorneherein sicher konfigurieren!

Dein Pc hat im schlimmsten Fall als Relay für Spam, Würmer oder Hop für Angriffe auf Drittsysteme gedient und somit dir und uns allen geschadet!!!

Nachdem ich mit AdAware, Spybot, Antivir und Norton Antivirus genug Viren, Trojaner, etc. entfernt habe, habe ich mal eine HiJackThis Logfile erstellt!

Änder alle deine Passwörter - die Warscheinlichkeit ist hoch, dass sie von einer Malware versendet wurden.

mfg

cane

[Hajooo]

Du soilltest die PCs von vorneherein sicher konfigurieren!

Dein Pc hat im schlimmsten Fall als Relay für Spam, Würmer oder Hop für Angriffe auf Drittsysteme gedient und somit dir und uns allen geschadet!!!

Das hättest Du Dir sparen können!

Wer weiß wieviel ungeschützte Rechner da draußen noch rumstehen ?

Die von mir installierten PCs sind alle sicher.

Gruß Hajooo