Neuer / Alter Virus

[Ozelott]

Servus

Ich hab ein nervendes Problem und bin mit dem Latein am Ende.

Also folgendes: Vor 2 Tagen bekam ich nen Blue Screen mit der Meldung " KERNEL_DATA_INPAGE_ERROR". Dann mehrmals nach dem Start von Windows ein Fehlerfenster mit "SBServ.exe" im Header und "Unknown Hard Error" als Text. (hab herausgefunden das SBServ zu Norton gehrt), kam bis jetzt nie wieder.

So und jetzt wird es richtig komisch. Nachdem ich den Rechner starte und ihn einfach nur stehen lasse dann popt nach ca. 8 Minuten ein DOS Fenster mit "c:\Windows\System32\svchost.exe" im Header auf gefolgt von dem Bekannten "System herunterfahren" in 30 Sekunden Fenster (wie beim Sasser Virus). Führt er das aus dann meldet er Windows ab und fhrt sich fest (schwarzer Bildschirm aber die Maus geht noch). Wen ich allerdings am PC arbeite passiert nix. Lass ich ihn stehen geht er wie oben beschrieben aus.

Hab Folgendes Versucht:

- Festplatte mit nem Seagate Tool überprüft er sagt mir allerdings das keine Festplatte von der Firma drin steckt (SATA)

- eine BartPE CD erstellt mit McAfee hat aber nix gefunden

- der SASSER Remover von Symantec hat auch nix gebracht

- VirusScann ' naja wie gesagt nach 8 Minuten

Wenn sich jemand mit HijackThis Log Files auskennt und es entschlüsseln kann, poste ich es auch noch.

Ich wrde mich riesig freuen wenn mir jemand weiter helfen kann, hab keinen Bock das System neu aufzusetzen

[DarkSchlumpf]

Hi!

Poste mal Dein Hijack log, vielleicht kann Dir dann jemand weiterhelfen.

Hast Du dieses Tool verwendet? Laut Beschreibung sollte dies mit SATA Platten klarkommen

[Ozelott]

Servus

Das war das Festplatten Tool was ich hatte. Mal sehen wenn ich ne Stunde Zeit hab werf ich mal Norton an. Hab mir ne Batch Datei mit "Shutdown -a" geschrieben muß halt mur dabei zuschauen.

Das Log File Sieht so aus:

Logfile of HijackThis v1.98.2

Scan saved at 00:53:56, on 28.12.2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXE

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\Norton AntiVirus\navapsvc.exe

C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe

C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\system32\svchost.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Programme\VMware\VMware Workstation\vmware-authd.exe

C:\WINDOWS\system32\vmnat.exe

C:\Programme\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\vmnetdhcp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\Programme\HP\hpcoretech\hpcmpmgr.exe

C:\Programme\Java\jre1.5.0\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\TGTSoft\StyleXP\StyleXP.exe

C:\Programme\Logitech\SetPoint\KEM.exe

C:\Programme\Logitech\SetPoint\KHALMNPR.EXE

C:\Dokumente und Einstellungen\Ozelott\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hyperionics.com/hsdx/installed.asp

O2 - BHO: BHO - {00000015-A527-34E7-25C2-03A4E313B2E9} - c:\WINDOWS\system32\winsrvs_1.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103044214479

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll

Kann man so etwas auch selber entschlüsseln? Gibt es so was wie ne Anleitung??

Schon mal Danke im Vorraus!

[Ozelott]

Servus

Mir ist aufgefallen das Norton seit dem 22.12. keine neue Vierendef. rausgebracht hat bzw. Mein Live Update nix findet kann das sein?

[DarkSchlumpf]

Servus

Mir ist aufgefallen das Norton seit dem 22.12. keine neue Vierendef. rausgebracht hat bzw. Mein Live Update nix findet kann das sein?

Laut

Symantec Homepage waren die letzten Definition die per LU verteilt wurden vom 22. Ist also normal. Du kannst Dir allerdings die die neuen Definitionen mit dem Intelligent Updater einspielen.

Warum werden die eigentlich nicht per LU verteilt?

Dein Hijack log kannst Du hier überprüfen lassen, kommt allerdings nichts verdächtiges bei raus.

Mir fällt auch bei den laufenden Prozessen nichts ungewöhnliches auf.

Installier mal die neuen Definitionen und scan nach Viren. Überprüf dann mal die Platte mit den Tool, das ich oben gepostet habe.