|
Log-Analyse und Auswertung: W32/Virut.bWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
10.10.2006, 00:56 | #1 |
| W32/Virut.b Hi! Ich hab mir bei ner Lanparty nen Patch von wem gezogen und bekomme seitdem ständig Virenmeldungen von AntiVir. die Viren "W32/Virut.b" "TR/Dldr.DollarRev.D" und "DR/Softomate.R.2" befindet sich in allen möglichen .exe Dateien. hier das HJT log: Logfile of HijackThis v1.99.1 Scan saved at 01:55:42, on 10.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\D-Tools\daemon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.5.0_08\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Winamp\Winamp.exe C:\Programme\Opera\Opera.exe C:\deskbar.exe C:\WINDOWS\explorer.exe c:\nwnmff_e25.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Dokumente und Einstellungen\ddu\Desktop\progs\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [defender] c:\\dfndrff_e25.exe O4 - HKLM\..\Run: [newname] c:\\nwnmff_e25.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C7715BF7-7359-440E-ABD8-338A1C3F10C2}: NameServer = 192.168.2.1 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\sgsvcs.dll O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\NANFINST.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe kann mir jemand helfen? Ps: ja ich habe aus meinem Fahler gelernt |
10.10.2006, 15:11 | #2 | ||
Administrator > Competence Manager | W32/Virut.bZitat:
bei welchen Dateien werden denn die o.g. Meldungen gemacht, bei allen .exe Dateien, egal welche??? Wenn dies der Fall ist, wirst du um eine Neuinstallation nicht drumherum kommen! Lass aber vorerst folgende Dateien bei Virustotal auswerten, und poste anschliessend das Ergebnis, achte darauf das auch die Grßenangabe der Datei mitgepostet wird: Zitat:
Sunny
__________________ |
10.10.2006, 20:54 | #3 | |
| W32/Virut.b Danke für deine Mühen schonmal
__________________Die beiden Dateien hab ich geprüft und sie sind NICHT infiziert. Zitat:
Muss ich meine festplatte jetzt am besten formatieren, oder gibts noch ne andere Lösung? Bei mir öffnen sich im Moment außerdem oft (ca. alle 1-2 min) IE fenster mit Werbung usw. Dabei benutze ich den IE eigentlich nicht, sondern Opera Ich hab auch bemerkt, dass sich auf c:/ nach jedem Neustart ca. 10 Dateien befinden, von denen ich nich tweiß, woher sie kommen. bis auf 2 (C:\dfndrff_e26 und C:\nwnmff_e26) kann ich sie ohne Probleme löschen. Bei den beiden bekomm ich die Nachricht: Zugriff verweigert, wird von einem Programm verwendet Ich hab sie schon im abgesicherten Modus gelöscht, aber nach dem Neustart waren alle wieder da. Ich hoffe es gibt nen Weg, die Viren loszuwerden, ohne zu formatieren... |
10.10.2006, 21:02 | #4 | ||
Administrator > Competence Manager | W32/Virut.bZitat:
Zitat:
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
10.10.2006, 21:22 | #5 |
| W32/Virut.b SRY, habs überlesen Ich hab die Dateien zum umbenennen nicht gefunden... also hab ich den Pfad nochmal bei Virustotal eingegeben: STATUS: FINISHEDComplete scanning result of "sgsvcs.dll", received in VirusTotal at 10.10.2006, 22:16:50 (CET). Antivirus Version Update Result AntiVir 7.2.0.25 10.10.2006 no virus found Authentium 4.93.8 10.10.2006 no virus found Avast 4.7.892.0 10.10.2006 no virus found AVG 386 10.10.2006 no virus found BitDefender 7.2 10.10.2006 no virus found CAT-QuickHeal 8.00 10.10.2006 no virus found ClamAV devel-20060426 10.10.2006 no virus found DrWeb 4.33 10.10.2006 no virus found eTrust-InoculateIT 23.73.18 10.10.2006 no virus found eTrust-Vet 30.3.3125 10.10.2006 no virus found Ewido 4.0 10.10.2006 no virus found Fortinet 2.82.0.0 10.10.2006 no virus found F-Prot 3.16f 10.10.2006 no virus found F-Prot4 4.2.1.29 10.10.2006 no virus found Ikarus 0.2.65.0 10.10.2006 no virus found Kaspersky 4.0.2.24 10.10.2006 no virus found McAfee 4870 10.10.2006 no virus found Microsoft 1.1603 10.10.2006 no virus found NOD32v2 1.1796 10.10.2006 no virus found Norman 5.80.02 10.10.2006 no virus found Panda 9.0.0.4 10.10.2006 no virus found Sophos 4.10.0 10.05.2006 no virus found TheHacker 6.0.1.094 10.08.2006 no virus found UNA 1.83 10.10.2006 no virus found VBA32 3.11.1 10.10.2006 no virus found VirusBuster 4.3.7:9 10.10.2006 no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 Bei 0 bytes kein Wunder, dass kein Virus da is, das gleiche Erbgebnis hab ich bei der anderen Datei. Beide existieren anscheinend nicht... Gute oder schlechte Nachricht? |
10.10.2006, 21:32 | #6 | |
Administrator > Competence Manager | W32/Virut.bZitat:
Das die Datei 0KB groß ist bedeutet das der Schädling/Virus/Trojaner sich selbst schützt. Um zu "verbergen" was sich dahinter versteckt. Mach mal die Systemdateien sichtbar -> so wirds gemacht Danach suche nochmals nach dem Pfad. Wenn du die Dateien jetzt findest, umbenennen und asuwerten lassen. Gruß Daniel
__________________ --> W32/Virut.b |
10.10.2006, 21:54 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | W32/Virut.b Ich befürchte, die Schädlinge werden sich zu schützen wissen und den Zugriff auf sich verhindern. Damit sollte auch das umbenennen und kopieren verhindert werden können. @ponti-ddu: Probier's mal so: Besorg dir Killbox und lösche die beiden Dateien C:\WINDOWS\system32\sgsvcs.dll C:\WINDOWS\system32\NANFINST.DLL mit der Option Delete on Reboot, den Rechner erst rebooten lassen, wenn Du beide Dateien für das Löschen markiert hast. Dann kannste Windows neu starten und die Dateien werden gelöscht. Killbox legt aber eine Sicherheitskopie der gelöschten Dateien im Ordner c:\!killbox\ ab. Werde dann die beiden Dateien von dort bei Jotti aus und poste das Ergebnis.
__________________ Logfiles bitte immer in CODE-Tags posten |
10.10.2006, 23:36 | #8 |
| W32/Virut.b nach dem Sichtbarmachen von Systemdateien konnte ich die Dateien immernoch nicht finden. Ich hab versucht killbox herunterzuladen, aber es hat nicht geklappt. Ich kann auch nichts anderes mehr mit Opera herunterladen, nur öffnen. Der IE funktioniert überhauptnicht mehr. dann hab ich Firefox aus dem Inet installiert (eben mit der öffnen funktion und nicht mit normalen Downloaden der Setup Datei). Das installieren hat funktioniert, aber wenn ichs firefox starten will, passiert garnichts. Killbox hab ich jetzt auch nur aus dem Inet geöffnet und die Pfade eingegeben, reicht das? Ich wollte dann auch nach dem Eingeben vom 2. Pfad den Comp von Killbox neu starten lassen, aber bekomme diese Fehlermeldung: "PendingFileRenameOperations Registry Data has been Removed by External Process!" ich werd jetzt einfach ganz normal neustarten. Soll ich danach wieder ein HJT log posten? edit: Ich hab beim Runterfahren die Meldung bekommen "Das Programm reagiert nicht, sofort beenden?" für den IE und Firefox.... Nur mal so als Info^^ Nach dem Neustart hab ich mal so ein IE Fenster, dass wiedermal von selbst aufgetaucht ist benutzt, um mir Killbox runterzuladen, das hat funktioniert. Hab dann einfach mal die beiden Dateien nochmal da eingegeben und wieder neu gestartet. nochmal edit: IE und Firefox gehen seit dem Neustart wieder. Geändert von ponti-ddu (11.10.2006 um 00:25 Uhr) |
11.10.2006, 01:40 | #9 |
| W32/Virut.b Und dann sollte ich ja noch die dateien im Killbox Ordner umbenennen/prüfen, hätt ich fast vergessen Aber leider existieren diese dateien nicht. es gibt aber ein log, in dem immer solche einträge stehen: [Delete on Reboot] Path = C:\WINDOWS\system32\sgsvcs.dll *This file does not seem to exist un nu? |
11.10.2006, 12:09 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | W32/Virut.b Haste schon mal nen Check mir eScan gemacht? Anleitung siehe Signatur.
__________________ Logfiles bitte immer in CODE-Tags posten |
11.10.2006, 21:05 | #11 |
| W32/Virut.b Ich hab mal nen kompletten Scan gemacht... hat über 4 Std gedauert. es wurden wieder über 1000 Infizierte Dateien gefunden. Das log, dass angeblich automatisch gespeichert wird, habe ich nicht im angegebennen Ordner gefunden und auch mit der Suchfunktion nicht gefunden. Ich kann außerdem mit Antivir keine einzelnen Dateien mehr überprüfen, weil laut Fehlermeldung die CRC-Summe verändert worden ist. Ich wollte Antivir dann über Systemsteierung\Software entfernen, aber dann bekomme ich die Meldung, die CRC-Summe wurde verändert und dies kann durch einen Virus geschehen sein. AUch im abgesichterten Modus Kann ich es nicht deinstallieren. |
11.10.2006, 21:11 | #12 |
/// Helfer-Team | W32/Virut.b Wenn du das mit dem Escan nicht hinbekommst: Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
11.10.2006, 23:01 | #13 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | W32/Virut.bZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
12.10.2006, 01:33 | #14 |
| W32/Virut.b sorry, dass ich das wieder übersehen hab Aber die find.bat Datei kann nicht machen, weil es das log ja nicht gibt. In der Anleitung steht auch, dass man eine verpackte Datei downloadet, ich konnte aber nur ne .exe Datei downloaden. Deswegen konnte ich sie dann nicht nach Bases_x entpacken, sondern sie hat sich selbst nach C:\DOKUME~1\... installiert. |
12.10.2006, 10:15 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | W32/Virut.b Installier Dir WinRAR. Mit einem Rechtsklick auf die Executable von eScan kannst Du es entpacken.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu W32/Virut.b |
avira, bho, defender, desktop, drivers, ebay, einstellungen, explorer, helfen, hijack, hijackthis, homepage, hotkey, internet, internet explorer, log, microsoft, msn, opera, programme, software, symantec, system, system32, windows, windows xp |