Norton Antivirus + Firewall deaktivert sich von alleine - Virus?

#1 Hallo Freunde,
ich hatte am 07.01.2004 ein Programm namens:"Matrix Screensaver"
runtergeladen,mit Norton 2004 (aktuellen update) gescannt,war alles ok.Als ich die exe Datei ausführte, wollte sofort eine Datei zun internet,Norton Firewall+ZoneAlarm hat sich sofort gemeldet und habe auch geblockt danach hat sich sofort der Norton Antivirus
deaktiviert.Seit dem kann ich kein andere antivirus Programme mehr ausführen auch kein Firewall.Ich habe Norton antivirus+ZoneAlarm usw.
alles deinstalliert und wieder installiert aber nützt nichts,habe dann von Kaspersky Antivirus +Antivir installiert kein erfolg, also installieren tun sich die Programme bloß ich kann die nicht ausführen sobald ich doppelklick mache,versucht der Program zu starten,(kommt ganz kurz Fenster 1sek.)das wars.Ich habe versucht Systemwiederstellung zu machen,hehe ist nichts,bei Systemeigenschaften ist der Punkt(kästchen) "Systemwiederherstellung auf allen Laufwerken deaktivieren" ist angeklickt,ich mache das klick'hen weg,nach dem neustart ist der wieder da.Ich kann alle andere Programme ausführen die gehen,alles ist normal.Ich weiß nicht mehr was ich wirklich machen kann, bitte hillft mir,mir sind die Hände gebunden.
mein System ist WinXP sp1
Not:ich hatte mal den XP zweite mal auf vorherigen XP drauf installiert im Ordner WinXP und PC bootet von dort.
hier ist ein report von: HijackThis v1.97.6

Logfile of HijackThis v1.97.7
Scan saved at 21:31:52, on 10.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINXP\Explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINXP\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINXP\System32\nvsvc32.exe
C:\WINXP\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINXP\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
E:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F0 - system.ini: Shell=Explorer.exe C:\WINXP\system32\fservice.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINXP\system32\fservice.exe
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [BootWarn] C:\Programme\Norton Internet Security\Norton AntiVirus\BootWarn.exe /a
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SSS5] "C:\Programme\Steganos Security Suite 5\steganos5.exe" /booting
O4 - HKCU\..\Run: [SSS5SAFE] "C:\Programme\Steganos Security Suite 5\safe.exe" /booting
O4 - HKCU\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting
O4 - HKCU\..\Run: [SIAPRO6] "C:\Programme\Steganos Internet Anonym Pro 6\sia.exe" /booting
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

#2 Versuche mal dein AV-Programm im abgesicherten Modus zu starten.

Ich habe es gar nicht so schnell gesehen, teste Diese Datei C:\WINXP\system32\fservice.exe mal hier: http://www.kaspersky.com/remoteviruschk.html oder schicke sie hierhin: virus@protecus.de

Interessant waere auch, was fuer einen Wert dieser Registrierungsschluessel hat:
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Raman,
ich bedanke mich sehr schonmal für deine Interesse.Ich hatte bischen im Board schon manche Sachen gelesen,also, meine hochachtung was deine einsatz hier angeht,wirklich Hut ab.

AV. läuft leider nicht im Abgesicherten Modus.

dieser Registrierungsschluessel [HKEY_CLASSES_ROOT\exefile\shell\open\command]
hat den Wert: "%1"%*

Die Datei:"FSERVICE.exe" konnte ich mit suche Funktion im, C:\WinXP\system32 nicht finden,Die Datei war in C:\winxp\prefetch\FSERVICE.exe-33BBFDDF6.pf und eine ähnliche Datei auch in dieser Verzeichnis,Name:SSERVICE.exe-301B323A.pf .

Beide Dateien habe ich in andere Pc mit Norton geprüft womit ich jetzt auch surfe,sind beide in Ordnung.
Mit Pest Patrol hatte ich den infizierten Pc auch gescannt,konnte auch nichts finden.
Ich glaube du selber bist der richtige Program für uns hier.

hier noch einmal Hijackthis Report neue,vielleicht nützt der was.

Logfile of HijackThis v1.97.7
Scan saved at 18:32:16, on 15.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINXP\Explorer.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINXP\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINXP\System32\nvsvc32.exe
C:\WINXP\SOUNDMAN.EXE
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\PestPatrolCL.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINXP\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
E:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F0 - system.ini: Shell=Explorer.exe C:\WINXP\system32\fservice.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINXP\system32\fservice.exe
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrolCL] C:\Programme\PestPatrol\PestPatrolCL.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [BootWarn] C:\Programme\Norton Internet Security\Norton AntiVirus\BootWarn.exe /a
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SSS5] "C:\Programme\Steganos Security Suite 5\steganos5.exe" /booting
O4 - HKCU\..\Run: [SSS5SAFE] "C:\Programme\Steganos Security Suite 5\safe.exe" /booting
O4 - HKCU\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting
O4 - HKCU\..\Run: [SIAPRO6] "C:\Programme\Steganos Internet Anonym Pro 6\sia.exe" /booting
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

#4 Rechner übers Netzwerk scannen oder eine parallele Installation durchführen und von dort scannen.

Auf den ersten Blick sehe ich aber nichts verdächtiges im Log. Eine Möglichkeit wäre auch noch das Prüfen mit einem OnlineScanner oder dem Stinger von NAI.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 Hi,
Rechner konnte ich nicht scannen weil ich Netzwerk nicht einrichten konnte.OnlineScanner wollet ich nicht,weil ich nicht genau wusste was für ein Virus,Wurm oder Dialer in mein Pc war.
Ich habe den "Matrix screensaver.exe"( Virus verursacher exe,in mein Pc) nochmal, (diesmal mit absicht) ausgeführt,hehe,da ist garnichts passiert,mit anderen Worten, selbst den konnte ich nicht mal ausführen,Ich wollte feststellen wo, was, an der Datum für eine Datei geschrieben wurde.Ich hatte keine andere Möglichkeit mehr gesehen als meine Platte Format C zu machen,habe auch jetzt gemacht und mit Norton, diese "Matrix Screensaver.exe"datei gescannt und hat sofort mir gezeigt.Der Name der Virus war "Backdoor-Prorat",habe jetzt den auch sofort natürlich weggelöscht.Endlich surfe ich wieder jetzt von meiner Pc.

Ich habe hier ausdem Grund jetzt geschrieben, vielleicht kann ich zu anderen behilflich werden, denn wenn man die Name von dem Virus weiss, erst dann kann man auch besser bekämpfen denke ich.
Nochmals vielen dank für eure bemühungen.

Ich wünsche euch allen ein VIRUS freies Leben.