Hallo !

Ich habe hier einen PC, der mit einem Virus bzw. Trojaner verseucht ist. Der Name des Viruses ist mir nicht bekannt, Norton erkennt ihn nur als Trojan Horse. Es sind allerdings die Dateien hddkill.exe und sporkeh.exe auf der Festplatte vorhanden. Der ganze PC ist nicht mehr startfähig, sobald das Betriebssystem gestartet werden soll bootet er neu. Ich habe die Festplatte zur Überprüfung in einen anderen PC gesteckt und die oben genannten Dateien wurden bei der Virenprüfung gefunden. Außerdem wurde auch noch eine Datei aclui32.dll als Virus erkannt. Es wurden auch fast alle Dateien auf der Platte umbenannt, es wurde immer der Anhang (fortlaufende Zahl).fuck an die Dateiendung angehangen, z.B. wurde aus msdos.sys msdos.sys1.fuck.
Kann man diesen PC noch retten oder hilft hier nur eine komplette Neuinstallation ?

Vielen Dank schon mal im voraus,

Gruß,

Funuckler

Hi Funnuckler,

lasse die fragwürdigen Dateien bei Virustotal scannen und poste die Ergebnisse (mit Angabe zur Dateigröße und Hashes) hier. Zudem erstelle bitte ein HJT-Log und poste dieses hier.

Gruß

Marc

hi

meiner Meinung nach warst du schon länger mit einem backdoor infiziert
der dir nun nen sogennanten(systemfucker) installiert hat.
denn ich glaube nicht das der backdoor seinen prozess HDDkill.exe nennt sodas es jedem auffällt und ich nehme mal an das du dir auch keine hddkill.exe heruntergeladen hast!

In diesem Fall würde ich neuaufsetzen, poste jedoch zuerstmal dein HJT.log

Hallo nochmals !

Danke schon mal für die Antworten. Ich kann leider nicht sagen ob der Rechner schon länger mit einem backdoor infiziert war, da es nicht meiner ist.
Ein HJT-Logfile kann ich auch nicht erstellen, da der PC ja nicht mal das Betriebssystem starten kann. Ich habe die Festplatte in einen anderen PC gesteckt um so wenigstens Zugriff auf die Platte zu erhalten. Werde gleich mal Virustotal durchlaufen lassen und das Ergebnis hier posten.

Gruß,

Funuckler

Virustotal ergab für hddkill.exe:

STATUS: FINISHEDComplete scanning result of "hddkill.exe", received in VirusTotal at 10.07.2006, 09:32:56 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.25 10.06.2006 TR/VB.aph
Authentium 4.93.8 10.06.2006 no virus found
Avast 4.7.892.0 10.07.2006 Win32:Trojan-gen. {UPX!}
AVG 386 10.06.2006 Generic.WXR
BitDefender 7.2 10.07.2006 Trojan.Vb.APH
CAT-QuickHeal 8.00 10.06.2006 no virus found
ClamAV devel-20060426 10.07.2006 no virus found
DrWeb 4.33 10.06.2006 modification of BackDoor.Generic.640
eTrust-InoculateIT 23.73.16 10.07.2006 no virus found
eTrust-Vet 30.3.3118 10.06.2006 no virus found
Ewido 4.0 10.06.2006 Trojan.VB.aph
Fortinet 2.82.0.0 10.07.2006 W32/VB.APH!tr
F-Prot 3.16f 10.06.2006 no virus found
F-Prot4 4.2.1.29 10.06.2006 no virus found
Ikarus 0.2.65.0 10.07.2006 no virus found
Kaspersky 4.0.2.24 10.07.2006 Trojan.Win32.VB.aph
McAfee 4868 10.06.2006 no virus found
Microsoft 1.1603 10.07.2006 no virus found
NOD32v2 1.1794 10.06.2006 probably unknown NewHeur_PE virus
Norman 5.80.02 10.06.2006 W32/VBTroj.BRH
Panda 9.0.0.4 10.06.2006 Suspicious file
Sophos 4.10.0 10.05.2006 no virus found
TheHacker 6.0.1.093 10.06.2006 Trojan/VB.aph
UNA 1.83 10.06.2006 Trojan.Win32.VB.BA9D
VBA32 3.11.1 10.06.2006 Trojan.Win32.VB.aph
VirusBuster 4.3.7:9 10.06.2006 no virus found


Aditional Information
File size: 15360 bytes
MD5: 6288b48df505d085de073008124adf0f
SHA1: 3dccd78d7665fb7130977a2150743946485093a5
packers: UPX
packers: UPX

Prüfung von Sporkeh.exe ergab:

STATUS: FINISHEDComplete scanning result of "sporkeh.exe", received in VirusTotal at 10.07.2006, 09:35:39 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.25 10.06.2006 TR/Sporke.C
Authentium 4.93.8 10.06.2006 W32/Trojan.EQI
Avast 4.7.892.0 10.07.2006 Win32:Trojan-gen. {Other}
AVG 386 10.06.2006 Generic.BWG
BitDefender 7.2 10.07.2006 Trojan.Sporke.C
CAT-QuickHeal 8.00 10.06.2006 Trojan.Sporke.c
ClamAV devel-20060426 10.07.2006 no virus found
DrWeb 4.33 10.06.2006 Trojan.Sporke
eTrust-InoculateIT 23.73.16 10.07.2006 Win32/Sporke.A!Trojan
eTrust-Vet 30.3.3118 10.06.2006 Win32/Sporke.A
Ewido 4.0 10.06.2006 Trojan.Sporke.c
Fortinet 2.82.0.0 10.07.2006 W32/SPORKE.A!tr
F-Prot 3.16f 10.06.2006 destructive program named W32/Trojan.EQI
F-Prot4 4.2.1.29 10.06.2006 W32/Trojan.EQI
Ikarus 0.2.65.0 10.07.2006 Trojan.Win32.Sporke.C
Kaspersky 4.0.2.24 10.07.2006 Trojan.Win32.Sporke.c
McAfee 4868 10.06.2006 Sporke
Microsoft 1.1603 10.07.2006 Trojan:Win32/Sporke.B
NOD32v2 1.1794 10.06.2006 Win32/Sporke.C
Norman 5.80.02 10.06.2006 W32/Sporke.D
Panda 9.0.0.4 10.06.2006 Trj/Sporke.A
Sophos 4.10.0 10.05.2006 Mal/Packer
TheHacker 6.0.1.093 10.06.2006 Trojan/Sporke.c
UNA 1.83 10.06.2006 Trojan.Win32.Sporke.B777
VBA32 3.11.1 10.06.2006 Trojan.Win32.Sporke.c
VirusBuster 4.3.7:9 10.06.2006 no virus found


Aditional Information
File size: 34816 bytes
MD5: d0ea0f939cf9dda79493c241221a9a71
SHA1: b51013761c4a042dd6876daa79717b6cfc25de1c
packers: PEX
packers: Pex


Gruß,

Funuckler

Hallo nochmal !

Kann mir hier keiner helfen?????


Gruß,

Funuckler

Du solltest ein Hijackthis-Logfile posten...

...oder setze neu auf. Bis du die Platte zum Laufen gebracht hast, bis HJT funktioniert, sollte auch eine Neuinstalltion über die Bühne sein. Die Chancen für eine Backdoor-Infektion stehen ohnehin gut. Gruß

Mhh...naja wie soll ich sagen^^
Also wenn es wirklich der sPorkeH ist...dann nützt garnichts mehr ...
Isses denn ne teure Festplatte?
Weil ich war lange im Geschäfft mit drinnen hab also so einiges mitbekommen... Also sPorkeH ist was ganz fieses. Als Systemfestlatte is das undenkbar...

Hallo mal wieder !

Das System musste tatsächlich komplett neu aufgesetzt werden. Ich hätte zwar durch das umbenennen sämtlicher Dateien das System wieder zum laufen gebracht aber bei 29000 umbenannten Dateien lieber nicht.

Gruß,

Funuckler