Oh mann...
Nach längerer Zeit hats mich mal wieder erwischt.
Hab eben mit KAV im abgesicherten Modus gescannt und ca. 700 infizierte exe dateien gefunden (fast alle auf meinem pc).
Die Dateien hat er entweder desinfiziert oder gelöscht. Auch die *.tmp files des viruses sind weg. Das Ganze hat über 2 Stunden gedauert und nun bin ich verständlicherweise ziemlich sauer, dass KAV ihn immernoch mehrfach findet.

In c:\windows\temp sind wieder 2 neue temp dateien von parite. Wie kann das sein? Alle infizierten exe dateien sind doch nun repariert/gar nicht mehr da !?
Kann es sein dass ich den registry eintrag übersehen habe, also kann sich der virus allein durch den eintrag neu verbreiten, auch wenn gar keine dateien mehr da sind? Ich glaube nicht.
Bin für jede Hilfe dankbar...


CC

Das Teil ist AFAIR speicherresident, schreibt sich wohl auch (zumindest eine der Versionen) in den Bootsektor und somit ziemlich hartnäckig. Reparieren würde ich da nichts lassen, sondern System neu aufsetzen.
BTW: Wie kommst du zu dem Teil?

</font><blockquote>Zitat:</font><hr />Original erstellt von IRON:
BTW: Wie kommst du zu dem Teil? </font>[/QUOTE]...frage ich mich auch

Neu aufsetzen wäre "katastrophal", betrifft ja nicht nur die c: partition sondern alles. Das kann ich ja nicht mehr brennen oder sichern, viel zu viel.

Habe mir mal das removal toll von bitdefender runtergeladen, nachdem alles mögliche gekillt wurde gabs nen bluescreen...

Kann denn keiner mehr was dazu sagen?
Eben kam schon die meldung, dass einige systemdateien durch unbekannte ersetzt worden wären und ich sollte die winXP cd einlegen, was ich auch gemacht habe.

Wie krieg ich das Ding aus dem Bootsektor?
Kann man den irgendwie neu aufsetzen ohne dass daten verloren gehen?

Versuche einfach mal das Folgende:

1.) Dieses Tool laden:
h**p://shareware.pandasoftware.com/pq/gen/blaster/pqremove.com
2.) PC im abgesicherten Modus starten.
3.) Systemwiederherstellung deaktivieren.
4.) Tool ausführen.
5.) System neu starten.
6.) Falls erfolgreich, Daten sichern und System neu aufsetzen.

Sophos sagt unter anderem:
W32/Parite-B
Alias: W32.Pinfi, W32/Pate-B, PE_PARITE.A, W32/Pate.b, W95/Parite.B, Win32.Parite.b

Typ: Win32-Exe-Dateivirus

Erkennung: Wird seit November 2001 von Sophos Anti-Virus erkannt.

Erläuterung: Wenn W32/Parite-B ausgeführt wurde, verbleibt er im Speicher und infiziert alle PE- und SCR-Dateien auf jedem Laufwerk und auf jeder Netzwerkfreigabe.

Der hauptsächliche Virencode wird in einer zufällig benannten TMP-Datei im Windows-temp-Verzeichnis abgelegt. Die Datei hat eine Größe von 172 KB.

Version C = identische Symptome
Bei Sophos ist Parite-B auf Platz 10 im Ranking der aktuellen Viren

Danke erstmal, ich werd das morgen erstmal so machen:

- in den abgesicherten modus
- Registry eintrag entfernen
- Mit KAV scannen, desinfizieren und löschen
- neu starten

Das scannen dauert ziemlich lange, deshalb mach ich das erst morgen.

Was mir grade auffällt:
Auf C: sinkt der speicherplatz...
Kann das auch virtueller speicher sein, der den platz verbraucht?

</font><blockquote>Zitat:</font><hr />Original erstellt von Crispy chicken:

Was mir grade auffällt:
Auf C: sinkt der speicherplatz...
Kann das auch virtueller speicher sein, der den platz verbraucht? </font>[/QUOTE]Ja KANN, kann auch was anderes sein

@shadow

dann sollte bei meiner methode doch alles klappen, oder?

Wo deaktiviere ich die systemwiederherstellung?

Start =&gt; Systemsteuerung =&gt; System =&gt; Reiter Systemwiederherstellung, dort das Häkchen SETZEN

Ok, danke, werde das dann mal probieren.
Wenn ich das nun alles so mache wie ich oben beschrieben hab, und das teil ist immer noch da, woran kann das dann liegen? An diesem Bootsektor?
Ich mein wenn alle exe desinfiziert, die *.tmp files des viruses und der registry eintrag weg sind, woher kann der dann noch kommen?

Wenn Sophos, Panda, etc. recht haben, sollten deren AV-Programme das Virus löschen können. Der Schaden soll zwar nicht sehr groß sein, aber er nutzt quasi ALLE Wege um einen PC zu infizieren.

Also, schaut gut aus.

Folgendes hab ich gemacht:

- In den abgesicherten modus gegangen
- systemwiederherstellung deaktiviert
- wert "PINF" aus der Registry gelöscht
- mit KAV gescannt, 272 befallene Dateien, ~260 wurden repariert, der rest gelöscht.
- Nochmal gescannt, keine neuen Funde

Nun wieder hier im normalen Modus, findet kav kein Virus mehr, nur ein paar beschädigte dateien, was mich aber nicht weiter stört und folgendes, was er auch schon im abgesicherten modus gefunden hat:

MASTER-BOOTSEKTOR von FESTPLATTE1

Eintrag #2 ..... E/A Fehler
Eintrag #3 ..... E/A Fehler
Eintrag #3 ..... E/A Fehler

Ich weiss nicht was das heißt

Jedenfalls scheine ich das Teil los zu sein...

Du lässt Dateien, die von Parite befallen waren, reparieren und vertraust ihnen dann wieder? Gehts noch?
Du siehst Fehler im Bootbereich und es SCHEINT dir so, als wärst du den Schädling los?
Hallooo hooooooo. Aufwachen! Der Zustand deines Rechners ist NICHT DEFINIERT. Du kannst KEINER EINZIGEN ausführbaren Datei mehr trauen.
Mach den Rechner platt. Alles andere ist grob fahrlässig und Augenwischerei.

@ IRON: sei halt nicht immer so eisern

Wenn er probiert ob das System noch stabil läuft und es tut sich nichts hat er viel Zeit und Arbeit gespart. Und wenn Du jetzt sagts es könnte ja irgendwo noch versteckt der Virus rumkriechen, hast Du zwar recht, aber in jedem Backup in allen gesicherten Dateien, könnte dies sein.
100% gibt es halt nicht.
Natürlich würde eine komplette Neuinstallation einigen normalen Betriebsmüll auch mitentsorgen.

@CC versuch mal &gt;&gt;chkdsk /F&lt;&lt; für alle Partitionen
Für die Systempartition am Schluß, denn dafür ist ein Reboot nötig.
gilt für NT/2000/XP