W32.HLLW.Respan + W32.Hllw.Astef

Dieses Thema im Forum "Sicherheit" wurde erstellt von Mufty, 28. Juli 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Mufty

    Mufty Byte

    Registriert seit:
    28. Juli 2004
    Beiträge:
    20
    Hallo,
    folgendes Problem: Habe W32.HLLW.Respan + W32.Hllw.Astef auf meinen System.
    Sie befinden sich in C/Windows/Sytem32/svchost.exe.
    Mcafee 8.0 erkennt erst garnichts. AdAware schlägt nach dem Neustart an-erkennt es
    auch.reinigt es scheinbar,bis zum nächsten Neustart!!!!
    Habe es schon mit e-scan probiert-ohne Erfolg.Denke es gibt noch andere Lösungen als format c!!!! .Anbei mein Logfile von Hijack...
    Hoffe einer von EUCH kann mir weiterhelfen.......DANKE

    Logfile of HijackThis v1.98.0
    Scan saved at 17:31:05, on 28.07.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Unable to get Internet Explorer version!

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\crypserv.exe
    c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
    C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
    C:\PROGRA~1\mcafee.com\agent\mcagent.exe
    C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
    C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
    c:\progra~1\mcafee.com\vso\mcvsescn.exe
    D:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
    E:\Allerlei\actnote.exe
    C:\Programme\SpywareGuard\sgmain.exe
    c:\PROGRA~1\mcafee.com\vso\mcshield.exe
    C:\Programme\SpywareGuard\sgbhp.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Dokumente und Einstellungen\Kleinquälix\Eigene Dateien\CLEAN+SAVE\HijackThis.exe

    O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
    O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
    O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
    O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
    O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
    O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
    O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
    O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
    O4 - HKLM\..\Run: [Ad-watch] "D:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
    O4 - HKCU\..\Run: [StartNote] "E:\Allerlei\actnote.exe" /startnote /piano
    O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting
    O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
    O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
    O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
    O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
    O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools\Buyertools Reminder\ReminderIE.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FAE2C699-AE19-4B43-9CF4-FF76330772F5}: NameServer = 62.176.224.70 62.176.255.254
     
  2. Mufty

    Mufty Byte

    Registriert seit:
    28. Juli 2004
    Beiträge:
    20
    Hallo,
    habe W32.HLLW.Respan + W32.HLLW.Astef auf meinen System.
    Benutze Mcafee 8.0 Virenscanner ,der diese nicht erkennt.
    Habe sämtliche Progs:Hijack , e scan,Spybaot,Ad Aware etc ,ohne Erfolg ausprobiert.Einzige Möglichkeit erscheint, mir McAfee durch Norton zu ersetzen,
    da Norton ein Patch zum beseitigen des "Schmarotzers" bereitstellt.
    Fragen:Gäbe es eine andere Alternative?? oder hat schon mal jemand, mit Norton diesen Plagageist entfernt.

    Dank im voraus........Mufty
     
  3. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Ich geh mal davon aus dass das Teil auf deinem System aktiv ist und nicht nur in nem runtergeladenen Archiv rumliegt? Dann hilft wohl nur noch format c:
     
  4. Mufty

    Mufty Byte

    Registriert seit:
    28. Juli 2004
    Beiträge:
    20
    Mach mir nicht "Angst und Bange"!!!
    Es muss doch eine andere Möglichkeit geben als Format c.??
    Warum gäbe es nichts anderes ausser Format c???
    Mufty
     
  5. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Weil man heutzutage auf dem System aktive Viren, Trojaner, Spyware und ähnliches Gesindel nur wirklich zuverlässig und zu 100% entfernen kann indem man das System platt macht.

    Mit Virenscannern wird man sie meistens gar nicht richtig los (nach dem nächsten Neustart wieder da) und wenn man mit speziellen Removal-Tools oder sogar manuell drangeht kann man sich nie sicher sein dass wirklich alles weg ist.

    Es kann ja sein dass sich jemand hier meldet der eine Lösung für deinen speziellen Fall kennt (Norton hast du ja selbst genannt) aber mir wäre dabei nicht ganz wohl, zu wissen das da ein Programm aktiv war von dem ich nicht weiß was es genau gemacht hat und ob es jetzt wirklich weg ist.
     
  6. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo Mufty

    Deine beiden Threads habe ich zu einem zusammengeführt. ;)

    Beim nächsten mal bitte nur einen Thread! :bet:

    So, nun zu deiner Log-Datei: Folgende Einträge solltest du fixen lassen:

    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

    Diese Datei

    C:\WINDOWS\System32\nvsvc32.exe

    bitte mal hier überprüfen lassen:

    http://www.kaspersky.com/de/scanforvirus

    Gruß
    Nevok
     
  7. Mufty

    Mufty Byte

    Registriert seit:
    28. Juli 2004
    Beiträge:
    20
    Hallo Nevok,
    vorab dank für dieZusammenlegung.

    Habe:C:\WINDOWS\System32\nvsvc32.exe über Kasp. überprüft und "Sie" ist O.K.
    Beim "fixen" von:O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k hat sich Hijack verweigert(Error 75.)

    Benutze als Browser Firefox.
    Hoffe Du weißt noch einen Rat....sonst mach ich die Schlurre noch platt.
    Danke Mufty
     
  8. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ Mufty

    Es gibt keinen anderen Rat, denn dies ist die einzige Möglichkeit um wieder zu einen vertrauenswürdigen System zu gelangen: Neuaufsetzen!
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

    Nachdem Neuaufsetzen deines Systems sind folgende Punkte abzuarbeiten:
    1. Eingeschränktes Benutzerkonto erstellen
    2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
    3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
    4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
    5. Deine Passwörter ändern
    6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
    oder Browserwechsel wie z.B. Mozilla oder Firefox
    7. Image deiner Systempartition erstellen
    8. Surfverhalten überdenken
     
  9. PcVersteher

    PcVersteher Byte

    Registriert seit:
    29. November 2003
    Beiträge:
    50
    hallo zusammen

    Die Datei -------------> nvsvc32.exe

    Ist bestandteil des Nvidia-Grafik-Treibers ;)
    Falls jemandem damit geholfen ist ;)

    mfg PcVersteher
     
  10. Mufty

    Mufty Byte

    Registriert seit:
    28. Juli 2004
    Beiträge:
    20
    Hallo,
    werde "Wohl oder Übel" Format c anwenden.
    Danke javascript:AddSmilie(':aua:')
    javascript:AddSmilie(':aua:')
     
  11. peekabo

    peekabo ROM

    Registriert seit:
    3. August 2004
    Beiträge:
    1
    hallo alle zusammen,
    schon mal darüber nachgedacht, ob das nicht ein "versehentlicher" hoax ist? bei mir meldete vor einiger zeit noAdware, dass auch auf meinem meiner
    rechner W32.HLLW.Respan/Astef vorhanden sei, und noAdware koenne diesen boesewicht selbstverstaendlich beseitigen, wenn ich die vollversion (ca. 30 us$) kaufte.
    Die angeblich infizierte svchost.exe werde durch diesen worm auf ueber 100kb aufgeblaeht meldet etwa symantec secutity, tatsaechlich ist sie aber auf meinem rechner nur original 12,5kb lang. auch der binaere vergleich der angeblich infizierten svchost.exe mit einer "jungfraeulichen" schwester ergibt, dass jedes bit der beiden vollkommen identisch ist. beruhigend ist auch, dass so serioese kaempfer wie mcAfee und lavasoft's ad-aware nicht anschlagen.
    fazit: man kann sich schon mal verirren lassen, oder nicht? ob da wohl im internet nicht auch software lauert, die sich gott-sei-dank mal irren kann (gelinde ausgedrueckt) hinsichtlich all der wuermer, trojaner etc, und in dieser irrung dem armen user irrigerweise ihre kostenpflichtigen dienste anbietet.
    peekabo
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen