Wie entdecke und vernichte ich MBR-Viren?

#0
11.05.2008, 22:15
Member

Beiträge: 325
#1 Hallo Gemeinde!
Ich hatte vor ca 4-5 Wochen einen Virus auf meinem System, der mir mit ständigem Herunterfahren des PC's ganz schön zusetzte.Daraufhin habe ich meine Dateien gesichert und meine Bootpartition neu formatiert und XP neu aufgespielt.Nun habe ich folgenden Effekt, dass mein PC gelegentlich immer noch komplett abstürzt, und erst nach wenigen Minuten (mehrmaligen Versuchen) erst wieder bootet. Ich habe zwar schon gegoogelt, und mehrere Berichte zur MBR (bzw. fdisk/mbr etc.) gelesen, aber so richtig weitergeholfen hat es mir nicht.
Zur Sachlage:
Ich habe zwei Partitionen auf meinem PC,- zum einen die "C" mit dem Hauptbetriebsystem (XP) , -und zum anderem die "D"- Partition mit dem "Reservebetriebsytem"- auch nochmal XP.
Auf der "C"-Partition befand sich damals der besagte Virus, wegen dessen ich diese "C"-Partition neu formatierte und XP neu aufspielte.
Wie gesagt habe ich seither immer noch keine Ruhe im System, was mich vermuten lässt, dass noch ein Schädling im MBR sitzt.
Meine erste Frage dazu ist, ob es überhaupt möglich sein kann, dass ein (evtl.) infizierter MBR eine Formatierung (NUR "C") "überlebt" hat ?
Mein Vierensuchprogramm (Norton) zeigt mir KEINE Infektion auf den Bootsektor an, d.h. kann es sein dass es sich um einen s.g. "Tarnkappenvirus" handelt.
Gibt es eine Möglichkeit den MBR "unterhalb" des Betriebsystems zu erneuern, wenn wie bei mir zwei Betriebssysteme installiert sind ??(Bootinformationen des Betriebssystems auf "D" sind ja auch mit auf der Partition "C")
Weiterhin habe ich die Frage, ob ein evtl. Tarnkappenvirus auf dem MBR (oder auch ein allgemeiner) mit regulären Mitteln auffindbar ist ? (wie gesagt meldet mein Norton bzw. Hijackthis, Spybot und AdAware diesbezüglich "Schönwetter")
Gehe ich auf Nummer Sicher wenn ich beide Partitionen formatiere, dass ich hinterher wieder einen sauberen MBR habe ?
...So langsam treibt mich dieses Gerät in die Verzweiflung, ich würde gerne ausschliessen können, dass die ständigen "Shut Downs" ein Softwareproblem sind, oder ob sich meine Hardware langsam verabschiedet. Vielen Dank im voraus!
Seitenanfang Seitenende
11.05.2008, 22:32
Moderator
Avatar joschi

Beiträge: 6466
#2 Also bevor Du den MBR überschreibst und Dir die ganz Arbeit machst, solltest Du noch prüfen, ob das Windows-Ereignislog Hinweise auf Probleme mit Hardware oder Software hinweisen. Killmbr erscheint mir am geeignetsten für ein Überschreiben. Aber fdisk /mbr tut es im Grunde auch. Sofern Du den bereits schon mal angewendet hast liegt wohl ein anderes Problem hinter den Systemabstürzen.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
11.05.2008, 23:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo,
ich habe eine Seite zum Thema erstellt [Rootkits im Master Boot Record (MBR) ], vielleicht hilft es weiter
http://virus-protect.org/artikel/tools/masterbootrecord.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.05.2008, 23:22
Member

Themenstarter

Beiträge: 325
#4 Zur Richtigstellung ! Ich habe mich erst über fdisk/mbr im Netz ein bisschen belesen, aber so richtig trau ich mich da noch nicht ran, weil ich erst die Details von meinem oben geschriebenen Fragen durchchecken würde- zum anderen bin ich eher ein Laie, was sämtliche Operationen mit DOS Eingaben betrifft und nicht alles 100%-ig verstehe was da im Netz geschrieben steht.Momentan habe ich den PC noch so "leergeräumt", dass mir ein totales Plattmachen nicht so an die Nieren gehen würde.Deshalb wollte ich erstmal klären ob auf jeden Fall ein sauberer MBR hinten rauskommt (Stichwort:Tarnkappenvirus) oder ob es ein zu übertriebenes Manöver wäre.Aber Danke dass Du gleich nochmal den Killmbr-link gepostet hast, das File hatte ich bis Dato noch nicht gebraucht bzw. gezogen.Muss mich natürlich erstmal über dessen korrekte Anwendung belesen.
Mit dem Windows Ereignislog, meinst Du da den drwtsn32.log-File ???- oder gibt es da noch etwas verständlicheres für Otto-Normalverbraucher ?
Zur weiteren Information: Es hat nach dem Systemabstürzen immer verschiedene Meldungen gegeben; zum einen wollte das System die Windows/System32 Config /system nicht gefunden haben (wonach ich gesucht habe und wo dann in einer .TMP-Datei drinstand, dass mein Betriebsystem so eine Datei nicht benötigt. (Text in der Datei Wind./Syst.32/Config.TMP).Zum anderen hat mir der PC nach einem anderen Absturz das Floppy-Laufwerk im Bios deaktiviert.Zum Dritten bekam ich kurzzeitig auch nicht das zweite Betriebsystem zum Hochfahren, wobei er mir eine Weitere Datei nicht gefunden haben will, die ich aber enteckt hatte nachdem er das Betriebssystem irgendwann wieder hochgefahren hat.

PS: Sabina , ich habe Deinen Beitrag jetzt erst gelesen
...gleich noch eine Frage zu Deinem Link: Ich wollte heute schon mit der windows CD den "R" -Vorgang durchführen , aber da hat er mich nach einem Benutzer-kennwort gefragt- obwohl ich der einzige User auf dem PC bin und kein Passwort eingerichtet habe (gibt es da ein General-Passwort o.ä.?). Danach habe ich (Als der PC wieder hochfuhr) die CD aus dem Betriebssystem heraus gestartet und den "R" -Vorgang angewählt, da hat er mich natürlich angemeckert, dass ich eine neuere Version geladen habe (Servicepack 2)-und diese dann überschrieben wird. -Da hab ich die Sache erstmal abgeblasen.
Dieser Beitrag wurde am 11.05.2008 um 23:38 Uhr von Provisitor editiert.
Seitenanfang Seitenende
12.05.2008, 07:14
Moderator

Beiträge: 7805
#5 Drweb Cureit ist realtiv gut im Finden und Reinigen von diesen MBR Rootkits.
Noch besser ist MBR von gmer. Anleitung dazu findest du unter Punkt 10 in diesem Posting: http://forum.hijackthis.de/showpost.php?p=189251&postcount=20
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.05.2008, 00:55
Member

Themenstarter

Beiträge: 325
#6 Danke erstmal für die Hilfe!
Ich habe soeben mal die mbr.exe von gmer "durch's Dorf" gejagt.
Text:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Ist jetzt bloß die Frage ob er mir auch den "arbeitenden" MBR gescannt hat und nicht mein intaktes aber inaktives Double. (lese Sabinas Link oben dazu-bzw.schreibt wenn der log eine Sichere Aussage bietet, ich weiß nämlich nicht wie sicher dieses Programm ist, was die Vielfältigkeit der Viren betrifft)
Zum Verlauf: Habe den PC über nacht mal laufen lassen,- kein Absturz,
In der drwtsn32.exe habe ich mal die Absturzprotokollierung aktiviert, komischerweise war das Häkchen dort nicht gesetzt!?
Wenn's neues gibt, halte ich Euch auf dem Laufenden.
-Noch schönen Feiertag allerseits !!


14.05.08
Hallo es war gerade mal wieder so weit....Shut Down bei mir :-((

Nach dem Absturz wollte unbedingt dieser Autostart wieder mit hochfaren;(habe ihn jetzt mal mit durchgelassen)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Ich hatte Ihn gefixt, weil auf der Hijackthis-Seite dieses als überflüssiger Prozess angegeben war, bin auch immer ohne Ihn ausgekommen.Kann jemand Angaben über den Prozess machen, ob da Ärger vorprogrammiert ist wenn man ihn blockt ???
Seitenanfang Seitenende
14.05.2008, 01:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 das ist die dump-Datei, dort wird aufgelistet, warum der Rechner abgestürzt
ist

Zitat

%systemroot%\system32\dumprep 0 -k
«
wende comboscan an + poste die 2 reporte
http://virus-protect.org/artikel/tools/comboscan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.05.2008, 02:12
Member

Themenstarter

Beiträge: 325
#8 Hallo erstmal !
Vorweg noch ein wichtiger Hinweis:
Während des Scans hat mich Norten AV angemeckert, dass ein bedrohlicher Skript ausgeführt werden soll - Name: Inkead.vbs !! Hat das seine Richtigkeit und gehörte das zum Scan oder was sollte das bedeuten ?- Bitte da mal aufgeklärt zu werden !


Hier der 1. Report:

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: Intel(R) Pentium(R) 4 CPU 2.40GHz
Percentage of Memory in Use: 25%
Physical Memory (total/avail): 1279.48 MiB / 954.38 MiB
Pagefile Memory (total/avail): 3054.54 MiB / 2832.98 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1920.99 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 37.26 GiB total, 32.07 GiB free.
D: is Fixed (NTFS) - 37.27 GiB total, 24.6 GiB free.
E: is CDROM (No Media)
F: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - ST380020A - 74.53 GiB - 2 partitions
\PARTITION0 (bootable) - Installierbares Dateisystem - 37.26 GiB - C:
\PARTITION1 - Erweitert mit Int 13 (erweitert) - 37.27 GiB - D:



-- Security Center -------------------------------------------------------------

AUOptions is disabled.
Windows Internal Firewall is disabled.

AntiVirusDisableNotify is set.

FW: Norton Internet Worm Protection v2005 (Symantec)
AV: Norton AntiVirus 2005 v2005 (Symantec Corporation)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


-- Environment Variables -------------------------------------------------------


-- User Profiles ---------------------------------------------------------------

XYZ (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> C:\Programme\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
--> C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
--> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
--> C:\WINDOWS\UNRecode.exe /UNINSTALL
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware 2007 --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
ATI Control Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver --> rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class;)ISPLAY -clean
ATI Multimedia Center 7.9.0.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3762E935-02B7-4DB9-A1BC-0986D07F9E15}\setup.exe"
ATI Remote Wonder 1.3 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{26FD9A86-7505-46CB-83A7-AC1DF1E9C300} /l1031
ATI Teletext --> C:\PROGRA~1\ATIMUL~1\Teletext\UNWISE.EXE C:\PROGRA~1\ATIMUL~1\Teletext\INSTALL.LOG
Canon iP4300 --> "C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300 /L0x0007
Canon iP4300 Benutzerregistrierung --> C:\Programme\Canon\IJEREG\iP4300\UNINST.EXE
Canon Setup Utility 2.3 --> "C:\Programme\Canon\Canon Setup Utility 2.3\Maint.exe" /Uninstall C:\Programme\Canon\Canon Setup Utility 2.3\uninst.ini
Canon Utilities Easy-PhotoPrint --> C:\Programme\Canon\Easy-PhotoPrint\uninst.exe uninst.ini
Canon Utilities Easy-PrintToolBox --> C:\Programme\Canon\Easy-PrintToolBox\uninst.exe uninst.ini
ccCommon --> MsiExec.exe /I{DC367608-64A7-4BF7-92F4-8BAA25BA02DB}
CD-LabelPrint --> "C:\Programme\Canon\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application
Corel(R) Applications --> C:\WINDOWS\Corel\Uninst32.exe
Easy-WebPrint --> C:\WINDOWS\IsUn0407.exe -fC:\Programme\Canon\Easy-WebPrint\Uninst.isu
HijackThis 1.99.1 --> C:\Dokumente und Einstellungen\XYZ\Desktop\HijackThis.exe /uninstall
Internet Worm Protection --> MsiExec.exe /I{2908F0CB-C1D4-447F-97A2-CFC135C9F8D4}
Language pack for Ad-Aware SE --> C:\PROGRA~1\Lavasoft\AD-AWA~2\Plugins\Langs\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~2\Plugins\Langs\INSTALL.LOG
LiveReg (Symantec Corporation) --> C:\Programme\Gemeinsame Dateien\Symantec Shared\LiveReg\VCSetup.exe /REMOVE
LiveUpdate 3.0 (Symantec Corporation) --> "C:\Programme\Symantec\LiveUpdate\LSETUP.EXE" /U
Microsoft Works 6.0 --> MsiExec.exe /I{D0AC6844-79D4-11D4-AFEE-00C04F443448}
Nero 7 Ultra Edition --> MsiExec.exe /X{CF097717-F174-4144-954A-FBC4BF301031}
neroxml --> MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Norton AntiVirus 2005 --> MsiExec.exe /X{C6F5B6CF-609C-428E-876F-CA83176C021B}
Norton AntiVirus 2005 (Symantec Corporation) --> C:\Programme\Gemeinsame Dateien\Symantec Shared\SymSetup\{C6F5B6CF-609C-428E-876F-CA83176C021B}.exe /X
Norton AntiVirus Help --> MsiExec.exe /I{34EEB1F5-E939-40A1-A6BA-957282A4B2C8}
Norton AntiVirus Parent MSI --> MsiExec.exe /I{E5EE9939-259F-4DE2-8023-5C49E16A4F43}
Norton AntiVirus SYMLT MSI --> MsiExec.exe /I{D1FF75E7-DD42-4CFD-B052-20B3FFF4EDB8}
Norton WMI Update --> MsiExec.exe /X{F64306A5-4C32-41bb-B153-53986527FAB4}
PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall
Security Task Manager 1.6 --> C:\Programme\Security Task Manager\Uninstal.exe "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Security Task Manager"
SmartSurfer3.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3B64983B-A039-11D4-8B5A-0050DA45E354}\setup.exe" -l0x7
SPBBC --> MsiExec.exe /I{77772678-817F-4401-9301-ED1D01A8DA56}
Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe"
Sygate Personal Firewall Pro 5.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5D422994-9E10-11D4-AEB1-00D0B7237D97}\setup.exe" -Uninstall
Symantec --> MsiExec.exe /I{228F6876-A313-40A3-91C0-C3CBE6997D09}
Symantec Script Blocking Installer --> MsiExec.exe /I{D327AFC9-7BAA-473A-8319-6EB7A0D40138}
SymNet --> MsiExec.exe /I{2DA85B02-13C0-4E6D-9A76-22E6B3DD0CB2}
VideoLAN VLC media player 0.8.1 --> C:\Programme\VideoLAN\VLC\uninstall.exe
WinRAR archiver --> C:\Programme\WinRAR\uninstall.exe


-- Application Event Log -------------------------------------------------------

No Errors/Warnings found.


-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type7926 / Error
Event Submitted/Written: 05/12/2008 10:09:35 PM
Event ID/Source: 10010 / DCOM
Event Description:
Der Server "{F3A6XXXXX-ABE0-11D2-A441-XXXXXXXXX}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Event Record #/Type7919 / Error
Event Submitted/Written: 05/12/2008 07:38:52 PM
Event ID/Source: 32003 / ipnathlp
Event Description:
Der Übersetzer für Netzwerkadressen (NAT) konnte keine Anfrage des Übersetzungsmoduls des Kernelmodus stellen.
Möglicherweise liegen eine falsche Konfiguration, unzureichende Ressourcen oder
ein interner Fehler vor.
Die Daten enthalten den Fehlercode.

Event Record #/Type7918 / Error
Event Submitted/Written: 05/12/2008 07:38:52 PM
Event ID/Source: 1002 / Dhcp
Event Description:
Die IP-Adresslease 91.XX.XXXXXXX für die Netzwerkkarte mit der Netzwerkadresse 0XXXXXX123456 wurde durch
den DHCP-Server 83.1XXXXXX abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet).

Event Record #/Type7904 / Error
Event Submitted/Written: 05/12/2008 04:13:02 PM
Event ID/Source: 1003 / System Error
Event Description:
Fehlercode 000000c2, 1. Parameter 00000007, 2. Parameter 00000cd4, 3. Parameter 00120016, 4. Parameter bc68e0a0.

Event Record #/Type7881 / Warning
Event Submitted/Written: 05/12/2008 03:38:19 PM
Event ID/Source: 2504 / Server
Event Description:
Der Server konnte zu der Transportschicht \Device\NetBT_Tcpip_{1DEB5B45-2192-4B66-AF4B-8CF210F65EB4} keine Verbindung herstellen.



-- End of Deckard's System Scanner: finished at 2008-05-14 01:14:35 ------------

Hier der 2. Report:

Deckard's System Scanner v20071014.68

Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
6: 2008-05-13 23:09:01 UTC - RP78 - Deckard's System Scanner Restore Point
5: 2008-05-12 11:05:54 UTC - RP77 - Systemprüfpunkt
4: 2008-05-11 10:14:53 UTC - RP76 - Installed LightScribe 1.8.13.1.
3: 2008-05-11 10:08:27 UTC - RP75 - Dateien sortiert
2: 2008-05-10 22:23:51 UTC - RP74 - System wieder stabil(ha ha ha)


-- First Restore Point --
1: 2008-05-10 22:23:12 UTC - RP73 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as XYZ.exe) -------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 01:09:42, on 14.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Security Task Manager\SpyProtector.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\XYZ\Desktop\dss.exe
C:\DOKUME~1\XYZ~1\Desktop\SICHER~1\HIJACK~1\XYZ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Security Task Manager\SpyProtector.exe /autostart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)


-- HijackThis Fixed Entries (C:\DOKUME~1\XYZ~1\Desktop\SICHER~1\HIJACK~1\backups\) --------------------------------------------------------------------------------

backup-20080423-221315-424 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
backup-20080423-221341-398 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 Teefer (Teefer for NT) - c:\windows\system32\drivers\teefer.sys <Not Verified; Sygate Technologies, Inc.; Sygate Teefer Driver>
R1 wpsdrvnt - c:\windows\system32\drivers\wpsdrvnt.sys <Not Verified; Sygate Technologies, Inc.; wpsdrvnt>
R2 wg3n (SyGate for NT, wg3n) - c:\windows\system32\drivers\wg3n.sys <Not Verified; Sygate Technologies, Inc.; SyberGen WGXN>

S3 Ad-Watch Connect Filter (Ad-Watch Connect Kernel Filter) - c:\windows\system32\drivers\nsdriver.sys <Not Verified; Lavasoft AB; Ad-Watch Connections>
S3 mbr - c:\dokume~1\XYZ~1\lokale~1\temp\mbr.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

S3 NBService - c:\programme\nero\nero 7\nero backitup\nbservice.exe
S3 x10nets (X10 Device Network Service) - c:\progra~1\atimul~1\remctrl\x10nets.exe (file missing)


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2008-05-09 20:00:11 576 --a------ C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - XYZ.job


-- Files created between 2008-04-14 and 2008-05-14 -----------------------------

2008-05-11 12:23:00 328704 --a------ C:\WINDOWS\IsUn0407.exe <Not Verified; InstallShield Software Corporation; InstallShield® Deinstaller>
2008-05-11 12:21:54 0 d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2008-05-11 12:21:23 0 d--h----- C:\Programme\CanonBJ
2008-05-11 12:19:16 0 d-------- C:\Programme\Canon
2008-05-09 15:43:55 0 d--hs---- C:\found.000
2008-05-05 20:45:53 0 d-------- C:\WINDOWS\system32\Adobe(2)
2008-05-05 20:13:00 0 d-------- C:\WINDOWS\NewSoft
2008-05-05 19:17:44 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-05-04 20:48:25 0 d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-05-04 20:48:22 0 d-------- C:\Programme\AVSMedia
2008-05-03 10:24:51 0 d-------- C:\Programme\Nero
2008-05-03 10:24:51 0 d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-04-29 02:27:21 0 d-------- C:\Programme\Gemeinsame Dateien\LightScribe
2008-04-27 17:02:13 0 d-------- C:\WINDOWS\MVUNINST
2008-04-27 00:10:56 0 d-------- C:\Programme\WEBDE
2008-04-27 00:04:03 0 d-------- C:\WINDOWS\RegisteredPackages
2008-04-27 00:02:34 0 d-------- C:\Programme\VideoLAN
2008-04-26 22:23:51 619 --a------ C:\WINDOWS\PowerReg.dat
2008-04-26 22:22:35 0 d-------- C:\WINDOWS\Setup
2008-04-26 22:19:05 0 d-------- C:\Programme\Corel
2008-04-26 22:15:37 0 d-------- C:\WINDOWS\Corel
2008-04-26 21:50:41 0 d-------- C:\Programme\Microsoft Works
2008-04-24 18:36:43 0 d-------- C:\Programme\Lavasoft
2008-04-24 18:35:38 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-24 16:01:27 0 d-------- C:\Programme\Security Task Manager
2008-04-21 22:43:41 0 d-------- C:\Programme\SymNetDrv
2008-04-21 22:30:47 8023 --a------ C:\WINDOWS\system32\drivers\wg3n.sys <Not Verified; Sygate Technologies, Inc.; SyberGen WGXN>
2008-04-21 22:30:46 15360 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys <Not Verified; Sygate Technologies, Inc.; wpsdrvnt>
2008-04-21 22:30:46 86800 --a------ C:\WINDOWS\system32\drivers\Teefer.sys <Not Verified; Sygate Technologies, Inc.; Sygate Teefer Driver>
2008-04-21 22:30:42 77824 --a------ C:\WINDOWS\system32\SSSensor.dll <Not Verified; Sygate Technologies, Inc.; ScreenSaver Sensor>
2008-04-21 22:30:42 86016 --a------ C:\WINDOWS\system32\setaid.dll
2008-04-21 22:30:41 0 d-------- C:\Programme\Sygate
2008-04-21 21:57:46 0 d-------- C:\WINDOWS
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\WinSxS
2008-04-21 21:57:46 0 dr------- C:\WINDOWS\Web
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\twain_32
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\wins
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\wbem
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\usmt
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\spool
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\ShellExt
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\Setup
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\ras
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\oobe
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\npp
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\mui
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\inetsrv
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\IME
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\icsxml
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\ias
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\export
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\drivers
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\drivers\etc
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\drivers\disdn
2008-04-21 21:57:46 0 dr-hs--c- C:\WINDOWS\system32\dllcache
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\dhcp
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\config
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\3com_dmi
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\3076
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\2052
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1054
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1042
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1041
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1037
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1033
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1031
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1028
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system32\1025
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\system
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\security
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Resources
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\repair
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\mui
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\msapps
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\msagent
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Media
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\java
2008-04-21 21:57:46 0 d--h----- C:\WINDOWS\inf
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\ime
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Help
2008-04-21 21:57:46 0 dr--s---- C:\WINDOWS\Fonts
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Driver Cache
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Debug
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Cursors
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Connection Wizard
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\Config
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\AppPatch
2008-04-21 21:57:46 0 d-------- C:\WINDOWS\addins
2008-04-21 21:41:18 4608 --a------ C:\WINDOWS\system32\drivers\symlcbrd.sys <Not Verified; Symantec Corporation; Symantec Core Component>
2008-04-21 21:41:08 0 d-------- C:\Programme\Norton AntiVirus
2008-04-21 21:40:34 0 d-------- C:\Programme\Symantec
2008-04-21 21:40:34 0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-21 21:30:30 0 d-------- C:\WINDOWS\SoftwareDistribution
2008-04-21 21:30:27 0 d-------- C:\WINDOWS\Prefetch
2008-04-21 21:30:26 0 d---s---- C:\WINDOWS\system32\Microsoft
2008-04-21 21:24:46 0 d-------- C:\WINDOWS\peernet
2008-04-21 21:24:45 0 d-------- C:\WINDOWS\provisioning
2008-04-21 21:23:10 0 d-------- C:\WINDOWS\ServicePackFiles
2008-04-21 21:20:13 0 d-------- C:\WINDOWS\system32\ReinstallBackups
2008-04-21 21:18:20 0 d-------- C:\WINDOWS\EHome
2008-04-21 21:04:26 0 d-------- C:\Programme\Gemeinsame Dateien\ODBC
2008-04-21 21:04:23 0 d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-04-21 21:04:22 0 dr------- C:\Programme
2008-04-21 21:04:22 0 d-------- C:\Programme\Gemeinsame Dateien
2008-04-21 21:03:43 0 d-------- C:\WINDOWS\system32\CatRoot2
2008-04-21 21:03:43 0 d-------- C:\WINDOWS\system32\CatRoot
2008-04-21 21:03:19 0 d-------- C:\Dokumente und Einstellungen
2008-04-21 20:40:36 0 d-------- C:\Programme\CyberLink
2008-04-21 20:38:07 56832 -----n--- C:\WINDOWS\system32\Iyvu9_32.dll
2008-04-21 20:38:07 66560 -----n--- C:\WINDOWS\system32\atiyuv12.dll
2008-04-21 20:38:02 274432 -----n--- C:\WINDOWS\system32\vctest.dll <Not Verified; ATI; ATI vctest>
2008-04-21 20:37:58 48640 -----n--- C:\WINDOWS\system32\INETWH32.DLL <Not Verified; Blue Sky Software; Blue Sky Software - INETWH32>
2008-04-21 20:37:58 9136 -----n--- C:\WINDOWS\system32\INETWH16.DLL
2008-04-21 20:37:58 45056 -----n--- C:\WINDOWS\system32\atimiaaa.dll <Not Verified; ATI Technologies Inc.; ATI Rage 128 DVD Authentication Driver>
2008-04-21 20:37:21 0 d-------- C:\Programme\ATI Multimedia
2008-04-21 20:36:43 0 d-------- C:\Programme\ATI Technologies
2008-04-21 20:36:17 0 d--h----- C:\Programme\InstallShield Installation Information
2008-04-21 20:35:48 0 d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-21 20:19:47 0 d--hs---- C:\WINDOWS\Installer
2008-04-21 20:18:11 0 d--hs---- C:\System Volume Information
2008-04-21 20:15:09 0 d-------- C:\WINDOWS\system32\xircom
2008-04-21 20:15:09 0 d-------- C:\Programme\microsoft frontpage
2008-04-21 20:14:56 0 -rahs---- C:\MSDOS.SYS
2008-04-21 20:14:56 0 -rahs---- C:\IO.SYS
2008-04-21 20:14:56 0 --a------ C:\CONFIG.SYS
2008-04-21 20:14:56 0 --a------ C:\AUTOEXEC.BAT
2008-04-21 20:13:46 0 dr------- C:\WINDOWS\Offline Web Pages
2008-04-21 20:13:46 0 d---s---- C:\WINDOWS\Downloaded Program Files
2008-04-21 20:13:32 0 d-------- C:\Programme\Online-Dienste
2008-04-21 20:13:19 0 d-------- C:\WINDOWS\srchasst
2008-04-21 20:13:12 0 d-------- C:\WINDOWS\system32\Macromed
2008-04-21 20:13:12 0 d-------- C:\WINDOWS\system32\DirectX
2008-04-21 20:12:56 0 d-------- C:\Programme\Movie Maker
2008-04-21 20:12:28 0 d-------- C:\WINDOWS\system32\Restore
2008-04-21 20:12:21 0 d-------- C:\WINDOWS\PCHEALTH
2008-04-21 20:12:20 0 d-------- C:\Programme\Gemeinsame Dateien\Dienste
2008-04-21 20:12:14 0 d---s---- C:\WINDOWS\Tasks
2008-04-21 20:12:10 0 d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2008-04-21 20:11:58 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2008-04-21 20:11:38 0 d-------- C:\WINDOWS\Registration
2008-04-21 20:11:04 0 d--h----- C:\Programme\WindowsUpdate
2008-04-21 20:11:04 0 d-------- C:\Programme\Online Services
2008-04-21 20:10:58 0 d-------- C:\Programme\Messenger
2008-04-21 20:10:48 0 d-------- C:\Programme\MSN Gaming Zone
2008-04-21 20:10:37 0 d-------- C:\Programme\Windows NT
2008-04-21 20:10:23 0 d-------- C:\WINDOWS\system32\MsDtc
2008-04-21 20:10:21 0 d-------- C:\WINDOWS\system32\Com


-- Find3M Report ---------------------------------------------------------------

2008-05-10 18:33:10 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Adobe
2008-05-07 20:05:48 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\CD-LabelPrint
2008-05-03 10:27:55 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Ahead
2008-05-03 09:36:45 316594 --a------ C:\WINDOWS\system32\perfh007.dat
2008-05-03 09:36:45 48156 --a------ C:\WINDOWS\system32\perfc007.dat
2008-04-27 17:56:50 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\vlc
2008-04-27 01:57:34 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\X10 Commander
2008-04-26 22:44:47 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Microsoft Web Folders
2008-04-26 22:25:09 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Corel
2008-04-26 22:00:14 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Template
2008-04-22 00:11:09 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Macromedia
2008-04-21 21:48:49 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Symantec
2008-04-21 21:03:57 62 --ahs---- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\desktop.ini
2008-04-21 20:42:47 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Help
2008-04-21 20:19:44 0 d-------- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Identities


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"codfxrun"="C:\Programme\ATI Multimedia\codfx.exe" [12.09.2002 14:42]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [31.01.2008 12:56]
"SmcService"="C:\PROGRA~1\Sygate\SPF\Smc.exe" [21.01.2003 14:55]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [21.04.2008 22:43]
"Spy Protector"="C:\Programme\Security Task Manager\SpyProtector.exe" [20.04.2004 11:07]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [01.03.2007 15:57]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATI Remote Control"="C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe" [04.06.2002 14:39]
"@"="" []
"ATI Launchpad"="" []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SoundMan"=SOUNDMAN.EXE
"ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"



-- End of Deckard's System Scanner: finished at 2008-05-14 01:14:35 ------------
Dieser Beitrag wurde am 14.05.2008 um 04:17 Uhr von Provisitor editiert.
Seitenanfang Seitenende
14.05.2008, 15:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 «
alles wieder o.k. ???? ;)

Zitat

2: 2008-05-10 22:23:51 UTC - RP74 - System wieder stabil(ha ha ha)
«
benutzt du ?
X10 Device Network Service
der Treiber fehlt, falls du X10 verwendest, lade einen neuen , aktuellen Treiber.

«
mal sehen, ob meine Ahnung sich bestätigt ... ein verseuchter usb-Stick...
lade combofix (erlaube den Download...siehe Symantec), klicke die Warnmeldung weg + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.05.2008, 01:43
Member

Themenstarter

Beiträge: 325
#10 Hallo zur "Nachtschicht" !
Den Wiederherstellungspunkt hatte ich an dem Tag angelegt wo alles für den ersten Moment rosig aussah,- ich musste mich dann aber einige Tage später eines Besseren belehren lassen- deshalb der Kommentar in der Klammer!
Mit dem X 10 Device kann ich irgendwie nichts anfangen -für was das wirklich sein soll...? Die ganzen Jahre war im Secury Task Manager in der Prozessliste dieser als Versteckter Prozess angezeigt, Direkt auf "C" (oder sogar nur ein Strich wo die Partition eigentlich stehen müsste) und grau hinterlegt, dazu noch als Potentiell gefählich eingestuft. Nachdem ich danach gegoogelt hatte, war ich irgendwie auf den Schluss gekommen, dass dieser irgendwas mit meiner Grafikkarte zutun haben müsste.Zu fixen ging das Ding irgendwie nicht, geschweige überhaupt mal die ausführende Exe zu Gesicht zu bekommen.Aber in der Zeile steht ja irgendwas von ATI, und da gehe ich mal davon aus, dass alles mit der dazugehörigen Originalsoftware installiert worden ist ?? (übrigens stimmt es dass der Prozess seit dem Plattmachen nicht mehr im Sec. Task Manager aufgeführt ist).
Was sagt denn der Report noch negatives aus, den ich hier gepostet habe, irgendwie habe ich doch einige Probleme alles zu entziffern (verstehen)
Auf eine Antwort zu der Frage mit den evtl. MBR Viren (als Tarnkappenversion) bin ich ja immer noch neugierig, schon aus dem Grund, dass ich vorher Aufklärung habe was oder ob da etwas gewesen ist- bevor ich nochmal beide Partitionen Platt mache und Killmbr drüberlasse.Vielleicht gibts ja auch ein Tool dass die Festplatte nach sämtlichen MBR Informationen durchscannt und sich nicht "umleiten" lässt- damit auch die evtl. Fakes mit aufgespürt werden.
Aber ich bin natürlich auch für Infos zu X10 Device dankbar.
Seitenanfang Seitenende
15.05.2008, 10:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 mal sehen, ob meine Ahnung sich bestätigt ... ein verseuchter usb-Stick...
lade combofix (erlaube den Download...siehe Symantec), klicke die Warnmeldung weg + poste den report
http://virus-protect.org/artikel/tools/combofix.html

««
X10 Device Network Service
http://www.bleepingcomputer.com/startups/X10_Device_Network_Service-11845.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.05.2008, 13:10
Member

Themenstarter

Beiträge: 325
#12 Bei dem Combofix habe ich ehrlich gesagt bisschen "Bammel". Habe mich mal hier ein bisschen belesen :
( http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird )-der ganze Bericht ist etwas "hakelig" geschrieben-warum schreiben die nicht einfach Wiederherstellungskonsole aufrufen und Häkchen raus.-Stattdessen irgend ne Datei runterladen in das Programm einfügen......-und ich brauch auch keine Windows CD dazu , oder reden wir hier von zwei verschiedenen "Wiederherstellungsvarianten"???
-Man wird weiterhin dazu aufgefordert sämtliche Antiviren- und Spywaresoftware zu deaktivieren aber Combofix will beim Scan ins Netz und unterbricht dann selber irgendwann mal die Internetverbindung.Mein Deal: Entweder ich deaktiviere Norton & Co -dann aber nur bei gezogenem Internetstecker !
Eiserne Regel seit "Sasser" von mir.
Sollte Combofix auch zu meinen Bedingungen funzen- dann einverstanden und lasst es mich wissen.
...Muss erst mal zur Spätschicht
Dieser Beitrag wurde am 16.05.2008 um 00:18 Uhr von Provisitor editiert.
Seitenanfang Seitenende
15.05.2008, 14:01
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#13 PREVXCSI fuer Windows XP, 2000, 2003 und Vista
Download PREVXCSI zum Desktop

Doppelklick “Prevxcsifree”
Haacke an " I accept the terms and conditions " und klick “scan now”
Und berichte
__________
MfG Argus
Seitenanfang Seitenende
16.05.2008, 00:17
Member

Themenstarter

Beiträge: 325
#14 PREVXCSI fuer Windows XP, 2000, 2003 und Vista -meldet:
Systemstatus :clean
no Infections encountered so far
(einen Kopierbaren Logfile habe ich dem Tool nicht rauslocken können)
...Würde ja gerne nochmal "Sabinas" Combofix durchjagen, aber erst wenn meine Fragen zu diesem Tool geklärt sind....
Seitenanfang Seitenende
16.05.2008, 12:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 du kannst combofix beruhigt anwenden, allerdings Symantec abschalten oder Download erlauben.
Die Konsole hast du ja schon installiert - für den Notfall, dass was schief geht.

falls nicht, hier lesen ...........
http://virus-protect.org/artikel/tools/combofix-konsole.html

Ist nicht die Regel, seit März habe ich keine Probs mit combofix gehabt....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: