Wie entdecke und vernichte ich MBR-Viren? |
||
---|---|---|
#0
| ||
11.05.2008, 22:15
Member
Beiträge: 325 |
||
|
||
11.05.2008, 22:32
Moderator
Beiträge: 6466 |
#2
Also bevor Du den MBR überschreibst und Dir die ganz Arbeit machst, solltest Du noch prüfen, ob das Windows-Ereignislog Hinweise auf Probleme mit Hardware oder Software hinweisen. Killmbr erscheint mir am geeignetsten für ein Überschreiben. Aber fdisk /mbr tut es im Grunde auch. Sofern Du den bereits schon mal angewendet hast liegt wohl ein anderes Problem hinter den Systemabstürzen.
__________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
11.05.2008, 23:09
Ehrenmitglied
Beiträge: 29434 |
#3
Hallo,
ich habe eine Seite zum Thema erstellt [Rootkits im Master Boot Record (MBR) ], vielleicht hilft es weiter http://virus-protect.org/artikel/tools/masterbootrecord.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.05.2008, 23:22
Member
Themenstarter Beiträge: 325 |
#4
Zur Richtigstellung ! Ich habe mich erst über fdisk/mbr im Netz ein bisschen belesen, aber so richtig trau ich mich da noch nicht ran, weil ich erst die Details von meinem oben geschriebenen Fragen durchchecken würde- zum anderen bin ich eher ein Laie, was sämtliche Operationen mit DOS Eingaben betrifft und nicht alles 100%-ig verstehe was da im Netz geschrieben steht.Momentan habe ich den PC noch so "leergeräumt", dass mir ein totales Plattmachen nicht so an die Nieren gehen würde.Deshalb wollte ich erstmal klären ob auf jeden Fall ein sauberer MBR hinten rauskommt (Stichwort:Tarnkappenvirus) oder ob es ein zu übertriebenes Manöver wäre.Aber Danke dass Du gleich nochmal den Killmbr-link gepostet hast, das File hatte ich bis Dato noch nicht gebraucht bzw. gezogen.Muss mich natürlich erstmal über dessen korrekte Anwendung belesen.
Mit dem Windows Ereignislog, meinst Du da den drwtsn32.log-File ???- oder gibt es da noch etwas verständlicheres für Otto-Normalverbraucher ? Zur weiteren Information: Es hat nach dem Systemabstürzen immer verschiedene Meldungen gegeben; zum einen wollte das System die Windows/System32 Config /system nicht gefunden haben (wonach ich gesucht habe und wo dann in einer .TMP-Datei drinstand, dass mein Betriebsystem so eine Datei nicht benötigt. (Text in der Datei Wind./Syst.32/Config.TMP).Zum anderen hat mir der PC nach einem anderen Absturz das Floppy-Laufwerk im Bios deaktiviert.Zum Dritten bekam ich kurzzeitig auch nicht das zweite Betriebsystem zum Hochfahren, wobei er mir eine Weitere Datei nicht gefunden haben will, die ich aber enteckt hatte nachdem er das Betriebssystem irgendwann wieder hochgefahren hat. PS: Sabina , ich habe Deinen Beitrag jetzt erst gelesen ...gleich noch eine Frage zu Deinem Link: Ich wollte heute schon mit der windows CD den "R" -Vorgang durchführen , aber da hat er mich nach einem Benutzer-kennwort gefragt- obwohl ich der einzige User auf dem PC bin und kein Passwort eingerichtet habe (gibt es da ein General-Passwort o.ä.?). Danach habe ich (Als der PC wieder hochfuhr) die CD aus dem Betriebssystem heraus gestartet und den "R" -Vorgang angewählt, da hat er mich natürlich angemeckert, dass ich eine neuere Version geladen habe (Servicepack 2)-und diese dann überschrieben wird. -Da hab ich die Sache erstmal abgeblasen. Dieser Beitrag wurde am 11.05.2008 um 23:38 Uhr von Provisitor editiert.
|
|
|
||
12.05.2008, 07:14
Moderator
Beiträge: 7805 |
#5
Drweb Cureit ist realtiv gut im Finden und Reinigen von diesen MBR Rootkits.
Noch besser ist MBR von gmer. Anleitung dazu findest du unter Punkt 10 in diesem Posting: http://forum.hijackthis.de/showpost.php?p=189251&postcount=20 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.05.2008, 00:55
Member
Themenstarter Beiträge: 325 |
#6
Danke erstmal für die Hilfe!
Ich habe soeben mal die mbr.exe von gmer "durch's Dorf" gejagt. Text: device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Ist jetzt bloß die Frage ob er mir auch den "arbeitenden" MBR gescannt hat und nicht mein intaktes aber inaktives Double. (lese Sabinas Link oben dazu-bzw.schreibt wenn der log eine Sichere Aussage bietet, ich weiß nämlich nicht wie sicher dieses Programm ist, was die Vielfältigkeit der Viren betrifft) Zum Verlauf: Habe den PC über nacht mal laufen lassen,- kein Absturz, In der drwtsn32.exe habe ich mal die Absturzprotokollierung aktiviert, komischerweise war das Häkchen dort nicht gesetzt!? Wenn's neues gibt, halte ich Euch auf dem Laufenden. -Noch schönen Feiertag allerseits !! 14.05.08 Hallo es war gerade mal wieder so weit....Shut Down bei mir :-(( Nach dem Absturz wollte unbedingt dieser Autostart wieder mit hochfaren;(habe ihn jetzt mal mit durchgelassen) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k Ich hatte Ihn gefixt, weil auf der Hijackthis-Seite dieses als überflüssiger Prozess angegeben war, bin auch immer ohne Ihn ausgekommen.Kann jemand Angaben über den Prozess machen, ob da Ärger vorprogrammiert ist wenn man ihn blockt ??? |
|
|
||
14.05.2008, 01:05
Ehrenmitglied
Beiträge: 29434 |
#7
das ist die dump-Datei, dort wird aufgelistet, warum der Rechner abgestürzt
ist Zitat %systemroot%\system32\dumprep 0 -k« wende comboscan an + poste die 2 reporte http://virus-protect.org/artikel/tools/comboscan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.05.2008, 02:12
Member
Themenstarter Beiträge: 325 |
#8
Hallo erstmal !
Vorweg noch ein wichtiger Hinweis: Während des Scans hat mich Norten AV angemeckert, dass ein bedrohlicher Skript ausgeführt werden soll - Name: Inkead.vbs !! Hat das seine Richtigkeit und gehörte das zum Scan oder was sollte das bedeuten ?- Bitte da mal aufgeklärt zu werden ! Hier der 1. Report: Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Home Edition (build 2600) SP 2.0 Architecture: X86; Language: German CPU 0: Intel(R) Pentium(R) 4 CPU 2.40GHz Percentage of Memory in Use: 25% Physical Memory (total/avail): 1279.48 MiB / 954.38 MiB Pagefile Memory (total/avail): 3054.54 MiB / 2832.98 MiB Virtual Memory (total/avail): 2047.88 MiB / 1920.99 MiB A: is Removable (No Media) C: is Fixed (NTFS) - 37.26 GiB total, 32.07 GiB free. D: is Fixed (NTFS) - 37.27 GiB total, 24.6 GiB free. E: is CDROM (No Media) F: is CDROM (No Media) \\.\PHYSICALDRIVE0 - ST380020A - 74.53 GiB - 2 partitions \PARTITION0 (bootable) - Installierbares Dateisystem - 37.26 GiB - C: \PARTITION1 - Erweitert mit Int 13 (erweitert) - 37.27 GiB - D: -- Security Center ------------------------------------------------------------- AUOptions is disabled. Windows Internal Firewall is disabled. AntiVirusDisableNotify is set. FW: Norton Internet Worm Protection v2005 (Symantec) AV: Norton AntiVirus 2005 v2005 (Symantec Corporation) [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" -- Environment Variables ------------------------------------------------------- -- User Profiles --------------------------------------------------------------- XYZ (admin) -- Add/Remove Programs --------------------------------------------------------- --> C:\Programme\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL --> C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL --> C:\WINDOWS\UNNeroVision.exe /UNINSTALL --> C:\WINDOWS\UNRecode.exe /UNINSTALL --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Ad-Aware 2007 --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF} Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe ATI Control Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" ATI Display Driver --> rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean ATI Multimedia Center 7.9.0.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3762E935-02B7-4DB9-A1BC-0986D07F9E15}\setup.exe" ATI Remote Wonder 1.3 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{26FD9A86-7505-46CB-83A7-AC1DF1E9C300} /l1031 ATI Teletext --> C:\PROGRA~1\ATIMUL~1\Teletext\UNWISE.EXE C:\PROGRA~1\ATIMUL~1\Teletext\INSTALL.LOG Canon iP4300 --> "C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300 /L0x0007 Canon iP4300 Benutzerregistrierung --> C:\Programme\Canon\IJEREG\iP4300\UNINST.EXE Canon Setup Utility 2.3 --> "C:\Programme\Canon\Canon Setup Utility 2.3\Maint.exe" /Uninstall C:\Programme\Canon\Canon Setup Utility 2.3\uninst.ini Canon Utilities Easy-PhotoPrint --> C:\Programme\Canon\Easy-PhotoPrint\uninst.exe uninst.ini Canon Utilities Easy-PrintToolBox --> C:\Programme\Canon\Easy-PrintToolBox\uninst.exe uninst.ini ccCommon --> MsiExec.exe /I{DC367608-64A7-4BF7-92F4-8BAA25BA02DB} CD-LabelPrint --> "C:\Programme\Canon\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application Corel(R) Applications --> C:\WINDOWS\Corel\Uninst32.exe Easy-WebPrint --> C:\WINDOWS\IsUn0407.exe -fC:\Programme\Canon\Easy-WebPrint\Uninst.isu HijackThis 1.99.1 --> C:\Dokumente und Einstellungen\XYZ\Desktop\HijackThis.exe /uninstall Internet Worm Protection --> MsiExec.exe /I{2908F0CB-C1D4-447F-97A2-CFC135C9F8D4} Language pack for Ad-Aware SE --> C:\PROGRA~1\Lavasoft\AD-AWA~2\Plugins\Langs\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~2\Plugins\Langs\INSTALL.LOG LiveReg (Symantec Corporation) --> C:\Programme\Gemeinsame Dateien\Symantec Shared\LiveReg\VCSetup.exe /REMOVE LiveUpdate 3.0 (Symantec Corporation) --> "C:\Programme\Symantec\LiveUpdate\LSETUP.EXE" /U Microsoft Works 6.0 --> MsiExec.exe /I{D0AC6844-79D4-11D4-AFEE-00C04F443448} Nero 7 Ultra Edition --> MsiExec.exe /X{CF097717-F174-4144-954A-FBC4BF301031} neroxml --> MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B} Norton AntiVirus 2005 --> MsiExec.exe /X{C6F5B6CF-609C-428E-876F-CA83176C021B} Norton AntiVirus 2005 (Symantec Corporation) --> C:\Programme\Gemeinsame Dateien\Symantec Shared\SymSetup\{C6F5B6CF-609C-428E-876F-CA83176C021B}.exe /X Norton AntiVirus Help --> MsiExec.exe /I{34EEB1F5-E939-40A1-A6BA-957282A4B2C8} Norton AntiVirus Parent MSI --> MsiExec.exe /I{E5EE9939-259F-4DE2-8023-5C49E16A4F43} Norton AntiVirus SYMLT MSI --> MsiExec.exe /I{D1FF75E7-DD42-4CFD-B052-20B3FFF4EDB8} Norton WMI Update --> MsiExec.exe /X{F64306A5-4C32-41bb-B153-53986527FAB4} PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall Security Task Manager 1.6 --> C:\Programme\Security Task Manager\Uninstal.exe "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Security Task Manager" SmartSurfer3.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3B64983B-A039-11D4-8B5A-0050DA45E354}\setup.exe" -l0x7 SPBBC --> MsiExec.exe /I{77772678-817F-4401-9301-ED1D01A8DA56} Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe" Sygate Personal Firewall Pro 5.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5D422994-9E10-11D4-AEB1-00D0B7237D97}\setup.exe" -Uninstall Symantec --> MsiExec.exe /I{228F6876-A313-40A3-91C0-C3CBE6997D09} Symantec Script Blocking Installer --> MsiExec.exe /I{D327AFC9-7BAA-473A-8319-6EB7A0D40138} SymNet --> MsiExec.exe /I{2DA85B02-13C0-4E6D-9A76-22E6B3DD0CB2} VideoLAN VLC media player 0.8.1 --> C:\Programme\VideoLAN\VLC\uninstall.exe WinRAR archiver --> C:\Programme\WinRAR\uninstall.exe -- Application Event Log ------------------------------------------------------- No Errors/Warnings found. -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type7926 / Error Event Submitted/Written: 05/12/2008 10:09:35 PM Event ID/Source: 10010 / DCOM Event Description: Der Server "{F3A6XXXXX-ABE0-11D2-A441-XXXXXXXXX}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Event Record #/Type7919 / Error Event Submitted/Written: 05/12/2008 07:38:52 PM Event ID/Source: 32003 / ipnathlp Event Description: Der Übersetzer für Netzwerkadressen (NAT) konnte keine Anfrage des Übersetzungsmoduls des Kernelmodus stellen. Möglicherweise liegen eine falsche Konfiguration, unzureichende Ressourcen oder ein interner Fehler vor. Die Daten enthalten den Fehlercode. Event Record #/Type7918 / Error Event Submitted/Written: 05/12/2008 07:38:52 PM Event ID/Source: 1002 / Dhcp Event Description: Die IP-Adresslease 91.XX.XXXXXXX für die Netzwerkkarte mit der Netzwerkadresse 0XXXXXX123456 wurde durch den DHCP-Server 83.1XXXXXX abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Event Record #/Type7904 / Error Event Submitted/Written: 05/12/2008 04:13:02 PM Event ID/Source: 1003 / System Error Event Description: Fehlercode 000000c2, 1. Parameter 00000007, 2. Parameter 00000cd4, 3. Parameter 00120016, 4. Parameter bc68e0a0. Event Record #/Type7881 / Warning Event Submitted/Written: 05/12/2008 03:38:19 PM Event ID/Source: 2504 / Server Event Description: Der Server konnte zu der Transportschicht \Device\NetBT_Tcpip_{1DEB5B45-2192-4B66-AF4B-8CF210F65EB4} keine Verbindung herstellen. -- End of Deckard's System Scanner: finished at 2008-05-14 01:14:35 ------------ Hier der 2. Report: Deckard's System Scanner v20071014.68 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 6: 2008-05-13 23:09:01 UTC - RP78 - Deckard's System Scanner Restore Point 5: 2008-05-12 11:05:54 UTC - RP77 - Systemprüfpunkt 4: 2008-05-11 10:14:53 UTC - RP76 - Installed LightScribe 1.8.13.1. 3: 2008-05-11 10:08:27 UTC - RP75 - Dateien sortiert 2: 2008-05-10 22:23:51 UTC - RP74 - System wieder stabil(ha ha ha) -- First Restore Point -- 1: 2008-05-10 22:23:12 UTC - RP73 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. -- HijackThis (run as XYZ.exe) ------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 01:09:42, on 14.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\Smc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Security Task Manager\SpyProtector.exe C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\XYZ\Desktop\dss.exe C:\DOKUME~1\XYZ~1\Desktop\SICHER~1\HIJACK~1\XYZ.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Security Task Manager\SpyProtector.exe /autostart O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing) -- HijackThis Fixed Entries (C:\DOKUME~1\XYZ~1\Desktop\SICHER~1\HIJACK~1\backups\) -------------------------------------------------------------------------------- backup-20080423-221315-424 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe backup-20080423-221341-398 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe -- File Associations ----------------------------------------------------------- All associations okay. -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R0 Teefer (Teefer for NT) - c:\windows\system32\drivers\teefer.sys <Not Verified; Sygate Technologies, Inc.; Sygate Teefer Driver> R1 wpsdrvnt - c:\windows\system32\drivers\wpsdrvnt.sys <Not Verified; Sygate Technologies, Inc.; wpsdrvnt> R2 wg3n (SyGate for NT, wg3n) - c:\windows\system32\drivers\wg3n.sys <Not Verified; Sygate Technologies, Inc.; SyberGen WGXN> S3 Ad-Watch Connect Filter (Ad-Watch Connect Kernel Filter) - c:\windows\system32\drivers\nsdriver.sys <Not Verified; Lavasoft AB; Ad-Watch Connections> S3 mbr - c:\dokume~1\XYZ~1\lokale~1\temp\mbr.sys (file missing) -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- S3 NBService - c:\programme\nero\nero 7\nero backitup\nbservice.exe S3 x10nets (X10 Device Network Service) - c:\progra~1\atimul~1\remctrl\x10nets.exe (file missing) -- Device Manager: Disabled ---------------------------------------------------- No disabled devices found. -- Scheduled Tasks ------------------------------------------------------------- 2008-05-09 20:00:11 576 --a------ C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - XYZ.job -- Files created between 2008-04-14 and 2008-05-14 ----------------------------- 2008-05-11 12:23:00 328704 --a------ C:\WINDOWS\IsUn0407.exe <Not Verified; InstallShield Software Corporation; InstallShield® Deinstaller> 2008-05-11 12:21:54 0 d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information 2008-05-11 12:21:23 0 d--h----- C:\Programme\CanonBJ 2008-05-11 12:19:16 0 d-------- C:\Programme\Canon 2008-05-09 15:43:55 0 d--hs---- C:\found.000 2008-05-05 20:45:53 0 d-------- C:\WINDOWS\system32\Adobe(2) 2008-05-05 20:13:00 0 d-------- C:\WINDOWS\NewSoft 2008-05-05 19:17:44 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-05-04 20:48:25 0 d-------- C:\Programme\Gemeinsame Dateien\AVSMedia 2008-05-04 20:48:22 0 d-------- C:\Programme\AVSMedia 2008-05-03 10:24:51 0 d-------- C:\Programme\Nero 2008-05-03 10:24:51 0 d-------- C:\Programme\Gemeinsame Dateien\Ahead 2008-04-29 02:27:21 0 d-------- C:\Programme\Gemeinsame Dateien\LightScribe 2008-04-27 17:02:13 0 d-------- C:\WINDOWS\MVUNINST 2008-04-27 00:10:56 0 d-------- C:\Programme\WEBDE 2008-04-27 00:04:03 0 d-------- C:\WINDOWS\RegisteredPackages 2008-04-27 00:02:34 0 d-------- C:\Programme\VideoLAN 2008-04-26 22:23:51 619 --a------ C:\WINDOWS\PowerReg.dat 2008-04-26 22:22:35 0 d-------- C:\WINDOWS\Setup 2008-04-26 22:19:05 0 d-------- C:\Programme\Corel 2008-04-26 22:15:37 0 d-------- C:\WINDOWS\Corel 2008-04-26 21:50:41 0 d-------- C:\Programme\Microsoft Works 2008-04-24 18:36:43 0 d-------- C:\Programme\Lavasoft 2008-04-24 18:35:38 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-04-24 16:01:27 0 d-------- C:\Programme\Security Task Manager 2008-04-21 22:43:41 0 d-------- C:\Programme\SymNetDrv 2008-04-21 22:30:47 8023 --a------ C:\WINDOWS\system32\drivers\wg3n.sys <Not Verified; Sygate Technologies, Inc.; SyberGen WGXN> 2008-04-21 22:30:46 15360 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys <Not Verified; Sygate Technologies, Inc.; wpsdrvnt> 2008-04-21 22:30:46 86800 --a------ C:\WINDOWS\system32\drivers\Teefer.sys <Not Verified; Sygate Technologies, Inc.; Sygate Teefer Driver> 2008-04-21 22:30:42 77824 --a------ C:\WINDOWS\system32\SSSensor.dll <Not Verified; Sygate Technologies, Inc.; ScreenSaver Sensor> 2008-04-21 22:30:42 86016 --a------ C:\WINDOWS\system32\setaid.dll 2008-04-21 22:30:41 0 d-------- C:\Programme\Sygate 2008-04-21 21:57:46 0 d-------- C:\WINDOWS 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\WinSxS 2008-04-21 21:57:46 0 dr------- C:\WINDOWS\Web 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\twain_32 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\wins 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\wbem 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\usmt 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\spool 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\ShellExt 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\Setup 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\ras 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\oobe 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\npp 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\mui 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\inetsrv 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\IME 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\icsxml 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\ias 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\export 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\drivers 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\drivers\etc 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\drivers\disdn 2008-04-21 21:57:46 0 dr-hs--c- C:\WINDOWS\system32\dllcache 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\dhcp 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\config 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\3com_dmi 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\3076 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\2052 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1054 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1042 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1041 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1037 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1033 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1031 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1028 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1025 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\security 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Resources 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\repair 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\mui 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\msapps 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\msagent 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Media 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\java 2008-04-21 21:57:46 0 d--h----- C:\WINDOWS\inf 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\ime 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Help 2008-04-21 21:57:46 0 dr--s---- C:\WINDOWS\Fonts 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Driver Cache 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Debug 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Cursors 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Connection Wizard 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Config 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\AppPatch 2008-04-21 21:57:46 0 d-------- C:\WINDOWS\addins 2008-04-21 21:41:18 4608 --a------ C:\WINDOWS\system32\drivers\symlcbrd.sys <Not Verified; Symantec Corporation; Symantec Core Component> 2008-04-21 21:41:08 0 d-------- C:\Programme\Norton AntiVirus 2008-04-21 21:40:34 0 d-------- C:\Programme\Symantec 2008-04-21 21:40:34 0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-04-21 21:30:30 0 d-------- C:\WINDOWS\SoftwareDistribution 2008-04-21 21:30:27 0 d-------- C:\WINDOWS\Prefetch 2008-04-21 21:30:26 0 d---s---- C:\WINDOWS\system32\Microsoft 2008-04-21 21:24:46 0 d-------- C:\WINDOWS\peernet 2008-04-21 21:24:45 0 d-------- C:\WINDOWS\provisioning 2008-04-21 21:23:10 0 d-------- C:\WINDOWS\ServicePackFiles 2008-04-21 21:20:13 0 d-------- C:\WINDOWS\system32\ReinstallBackups 2008-04-21 21:18:20 0 d-------- C:\WINDOWS\EHome 2008-04-21 21:04:26 0 d-------- C:\Programme\Gemeinsame Dateien\ODBC 2008-04-21 21:04:23 0 d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines 2008-04-21 21:04:22 0 dr------- C:\Programme 2008-04-21 21:04:22 0 d-------- C:\Programme\Gemeinsame Dateien 2008-04-21 21:03:43 0 d-------- C:\WINDOWS\system32\CatRoot2 2008-04-21 21:03:43 0 d-------- C:\WINDOWS\system32\CatRoot 2008-04-21 21:03:19 0 d-------- C:\Dokumente und Einstellungen 2008-04-21 20:40:36 0 d-------- C:\Programme\CyberLink 2008-04-21 20:38:07 56832 -----n--- C:\WINDOWS\system32\Iyvu9_32.dll 2008-04-21 20:38:07 66560 -----n--- C:\WINDOWS\system32\atiyuv12.dll 2008-04-21 20:38:02 274432 -----n--- C:\WINDOWS\system32\vctest.dll <Not Verified; ATI; ATI vctest> 2008-04-21 20:37:58 48640 -----n--- C:\WINDOWS\system32\INETWH32.DLL <Not Verified; Blue Sky Software; Blue Sky Software - INETWH32> 2008-04-21 20:37:58 9136 -----n--- C:\WINDOWS\system32\INETWH16.DLL 2008-04-21 20:37:58 45056 -----n--- C:\WINDOWS\system32\atimiaaa.dll <Not Verified; ATI Technologies Inc.; ATI Rage 128 DVD Authentication Driver> 2008-04-21 20:37:21 0 d-------- C:\Programme\ATI Multimedia 2008-04-21 20:36:43 0 d-------- C:\Programme\ATI Technologies 2008-04-21 20:36:17 0 d--h----- C:\Programme\InstallShield Installation Information 2008-04-21 20:35:48 0 d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2008-04-21 20:19:47 0 d--hs---- C:\WINDOWS\Installer 2008-04-21 20:18:11 0 d--hs---- C:\System Volume Information 2008-04-21 20:15:09 0 d-------- C:\WINDOWS\system32\xircom 2008-04-21 20:15:09 0 d-------- C:\Programme\microsoft frontpage 2008-04-21 20:14:56 0 -rahs---- C:\MSDOS.SYS 2008-04-21 20:14:56 0 -rahs---- C:\IO.SYS 2008-04-21 20:14:56 0 --a------ C:\CONFIG.SYS 2008-04-21 20:14:56 0 --a------ C:\AUTOEXEC.BAT 2008-04-21 20:13:46 0 dr------- C:\WINDOWS\Offline Web Pages 2008-04-21 20:13:46 0 d---s---- C:\WINDOWS\Downloaded Program Files 2008-04-21 20:13:32 0 d-------- C:\Programme\Online-Dienste 2008-04-21 20:13:19 0 d-------- C:\WINDOWS\srchasst 2008-04-21 20:13:12 0 d-------- C:\WINDOWS\system32\Macromed 2008-04-21 20:13:12 0 d-------- C:\WINDOWS\system32\DirectX 2008-04-21 20:12:56 0 d-------- C:\Programme\Movie Maker 2008-04-21 20:12:28 0 d-------- C:\WINDOWS\system32\Restore 2008-04-21 20:12:21 0 d-------- C:\WINDOWS\PCHEALTH 2008-04-21 20:12:20 0 d-------- C:\Programme\Gemeinsame Dateien\Dienste 2008-04-21 20:12:14 0 d---s---- C:\WINDOWS\Tasks 2008-04-21 20:12:10 0 d-------- C:\Programme\Gemeinsame Dateien\MSSoap 2008-04-21 20:11:58 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat 2008-04-21 20:11:38 0 d-------- C:\WINDOWS\Registration 2008-04-21 20:11:04 0 d--h----- C:\Programme\WindowsUpdate 2008-04-21 20:11:04 0 d-------- C:\Programme\Online Services 2008-04-21 20:10:58 0 d-------- C:\Programme\Messenger 2008-04-21 20:10:48 0 d-------- C:\Programme\MSN Gaming Zone 2008-04-21 20:10:37 0 d-------- C:\Programme\Windows NT 2008-04-21 20:10:23 0 d-------- C:\WINDOWS\system32\MsDtc 2008-04-21 20:10:21 0 d-------- C:\WINDOWS\system32\Com -- Find3M Report --------------------------------------------------------------- 2008-05-10 18:33:10 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Adobe 2008-05-07 20:05:48 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\CD-LabelPrint 2008-05-03 10:27:55 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Ahead 2008-05-03 09:36:45 316594 --a------ C:\WINDOWS\system32\perfh007.dat 2008-05-03 09:36:45 48156 --a------ C:\WINDOWS\system32\perfc007.dat 2008-04-27 17:56:50 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\vlc 2008-04-27 01:57:34 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\X10 Commander 2008-04-26 22:44:47 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Microsoft Web Folders 2008-04-26 22:25:09 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Corel 2008-04-26 22:00:14 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Template 2008-04-22 00:11:09 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Macromedia 2008-04-21 21:48:49 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Symantec 2008-04-21 21:03:57 62 --ahs---- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\desktop.ini 2008-04-21 20:42:47 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Help 2008-04-21 20:19:44 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Identities -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "codfxrun"="C:\Programme\ATI Multimedia\codfx.exe" [12.09.2002 14:42] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [31.01.2008 12:56] "SmcService"="C:\PROGRA~1\Sygate\SPF\Smc.exe" [21.01.2003 14:55] "Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [21.04.2008 22:43] "Spy Protector"="C:\Programme\Security Task Manager\SpyProtector.exe" [20.04.2004 11:07] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [01.03.2007 15:57] "KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATI Remote Control"="C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe" [04.06.2002 14:39] "@"="" [] "ATI Launchpad"="" [] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SoundMan"=SOUNDMAN.EXE "ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe" -- End of Deckard's System Scanner: finished at 2008-05-14 01:14:35 ------------ Dieser Beitrag wurde am 14.05.2008 um 04:17 Uhr von Provisitor editiert.
|
|
|
||
14.05.2008, 15:59
Ehrenmitglied
Beiträge: 29434 |
#9
«
alles wieder o.k. ???? Zitat 2: 2008-05-10 22:23:51 UTC - RP74 - System wieder stabil(ha ha ha)« benutzt du ? X10 Device Network Service der Treiber fehlt, falls du X10 verwendest, lade einen neuen , aktuellen Treiber. « mal sehen, ob meine Ahnung sich bestätigt ... ein verseuchter usb-Stick... lade combofix (erlaube den Download...siehe Symantec), klicke die Warnmeldung weg + poste den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.05.2008, 01:43
Member
Themenstarter Beiträge: 325 |
#10
Hallo zur "Nachtschicht" !
Den Wiederherstellungspunkt hatte ich an dem Tag angelegt wo alles für den ersten Moment rosig aussah,- ich musste mich dann aber einige Tage später eines Besseren belehren lassen- deshalb der Kommentar in der Klammer! Mit dem X 10 Device kann ich irgendwie nichts anfangen -für was das wirklich sein soll...? Die ganzen Jahre war im Secury Task Manager in der Prozessliste dieser als Versteckter Prozess angezeigt, Direkt auf "C" (oder sogar nur ein Strich wo die Partition eigentlich stehen müsste) und grau hinterlegt, dazu noch als Potentiell gefählich eingestuft. Nachdem ich danach gegoogelt hatte, war ich irgendwie auf den Schluss gekommen, dass dieser irgendwas mit meiner Grafikkarte zutun haben müsste.Zu fixen ging das Ding irgendwie nicht, geschweige überhaupt mal die ausführende Exe zu Gesicht zu bekommen.Aber in der Zeile steht ja irgendwas von ATI, und da gehe ich mal davon aus, dass alles mit der dazugehörigen Originalsoftware installiert worden ist ?? (übrigens stimmt es dass der Prozess seit dem Plattmachen nicht mehr im Sec. Task Manager aufgeführt ist). Was sagt denn der Report noch negatives aus, den ich hier gepostet habe, irgendwie habe ich doch einige Probleme alles zu entziffern (verstehen) Auf eine Antwort zu der Frage mit den evtl. MBR Viren (als Tarnkappenversion) bin ich ja immer noch neugierig, schon aus dem Grund, dass ich vorher Aufklärung habe was oder ob da etwas gewesen ist- bevor ich nochmal beide Partitionen Platt mache und Killmbr drüberlasse.Vielleicht gibts ja auch ein Tool dass die Festplatte nach sämtlichen MBR Informationen durchscannt und sich nicht "umleiten" lässt- damit auch die evtl. Fakes mit aufgespürt werden. Aber ich bin natürlich auch für Infos zu X10 Device dankbar. |
|
|
||
15.05.2008, 10:18
Ehrenmitglied
Beiträge: 29434 |
#11
mal sehen, ob meine Ahnung sich bestätigt ... ein verseuchter usb-Stick...
lade combofix (erlaube den Download...siehe Symantec), klicke die Warnmeldung weg + poste den report http://virus-protect.org/artikel/tools/combofix.html «« X10 Device Network Service http://www.bleepingcomputer.com/startups/X10_Device_Network_Service-11845.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.05.2008, 13:10
Member
Themenstarter Beiträge: 325 |
#12
Bei dem Combofix habe ich ehrlich gesagt bisschen "Bammel". Habe mich mal hier ein bisschen belesen :
( http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird )-der ganze Bericht ist etwas "hakelig" geschrieben-warum schreiben die nicht einfach Wiederherstellungskonsole aufrufen und Häkchen raus.-Stattdessen irgend ne Datei runterladen in das Programm einfügen......-und ich brauch auch keine Windows CD dazu , oder reden wir hier von zwei verschiedenen "Wiederherstellungsvarianten"??? -Man wird weiterhin dazu aufgefordert sämtliche Antiviren- und Spywaresoftware zu deaktivieren aber Combofix will beim Scan ins Netz und unterbricht dann selber irgendwann mal die Internetverbindung.Mein Deal: Entweder ich deaktiviere Norton & Co -dann aber nur bei gezogenem Internetstecker ! Eiserne Regel seit "Sasser" von mir. Sollte Combofix auch zu meinen Bedingungen funzen- dann einverstanden und lasst es mich wissen. ...Muss erst mal zur Spätschicht Dieser Beitrag wurde am 16.05.2008 um 00:18 Uhr von Provisitor editiert.
|
|
|
||
15.05.2008, 14:01
Ehrenmitglied
Beiträge: 6028 |
||
|
||
16.05.2008, 00:17
Member
Themenstarter Beiträge: 325 |
#14
PREVXCSI fuer Windows XP, 2000, 2003 und Vista -meldet:
Systemstatus :clean no Infections encountered so far (einen Kopierbaren Logfile habe ich dem Tool nicht rauslocken können) ...Würde ja gerne nochmal "Sabinas" Combofix durchjagen, aber erst wenn meine Fragen zu diesem Tool geklärt sind.... |
|
|
||
16.05.2008, 12:15
Ehrenmitglied
Beiträge: 29434 |
#15
du kannst combofix beruhigt anwenden, allerdings Symantec abschalten oder Download erlauben.
Die Konsole hast du ja schon installiert - für den Notfall, dass was schief geht. falls nicht, hier lesen ........... http://virus-protect.org/artikel/tools/combofix-konsole.html Ist nicht die Regel, seit März habe ich keine Probs mit combofix gehabt.... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich hatte vor ca 4-5 Wochen einen Virus auf meinem System, der mir mit ständigem Herunterfahren des PC's ganz schön zusetzte.Daraufhin habe ich meine Dateien gesichert und meine Bootpartition neu formatiert und XP neu aufgespielt.Nun habe ich folgenden Effekt, dass mein PC gelegentlich immer noch komplett abstürzt, und erst nach wenigen Minuten (mehrmaligen Versuchen) erst wieder bootet. Ich habe zwar schon gegoogelt, und mehrere Berichte zur MBR (bzw. fdisk/mbr etc.) gelesen, aber so richtig weitergeholfen hat es mir nicht.
Zur Sachlage:
Ich habe zwei Partitionen auf meinem PC,- zum einen die "C" mit dem Hauptbetriebsystem (XP) , -und zum anderem die "D"- Partition mit dem "Reservebetriebsytem"- auch nochmal XP.
Auf der "C"-Partition befand sich damals der besagte Virus, wegen dessen ich diese "C"-Partition neu formatierte und XP neu aufspielte.
Wie gesagt habe ich seither immer noch keine Ruhe im System, was mich vermuten lässt, dass noch ein Schädling im MBR sitzt.
Meine erste Frage dazu ist, ob es überhaupt möglich sein kann, dass ein (evtl.) infizierter MBR eine Formatierung (NUR "C") "überlebt" hat ?
Mein Vierensuchprogramm (Norton) zeigt mir KEINE Infektion auf den Bootsektor an, d.h. kann es sein dass es sich um einen s.g. "Tarnkappenvirus" handelt.
Gibt es eine Möglichkeit den MBR "unterhalb" des Betriebsystems zu erneuern, wenn wie bei mir zwei Betriebssysteme installiert sind ??(Bootinformationen des Betriebssystems auf "D" sind ja auch mit auf der Partition "C")
Weiterhin habe ich die Frage, ob ein evtl. Tarnkappenvirus auf dem MBR (oder auch ein allgemeiner) mit regulären Mitteln auffindbar ist ? (wie gesagt meldet mein Norton bzw. Hijackthis, Spybot und AdAware diesbezüglich "Schönwetter")
Gehe ich auf Nummer Sicher wenn ich beide Partitionen formatiere, dass ich hinterher wieder einen sauberen MBR habe ?
...So langsam treibt mich dieses Gerät in die Verzweiflung, ich würde gerne ausschliessen können, dass die ständigen "Shut Downs" ein Softwareproblem sind, oder ob sich meine Hardware langsam verabschiedet. Vielen Dank im voraus!