| |
| |||||||
Log-Analyse und Auswertung: W32/Virut.bWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
10.10.2006, 00:56
| #1 |
 |  W32/Virut.b Hi! Ich hab mir bei ner Lanparty nen Patch von wem gezogen und bekomme seitdem ständig Virenmeldungen von AntiVir. die Viren "W32/Virut.b" "TR/Dldr.DollarRev.D" und "DR/Softomate.R.2" befindet sich in allen möglichen .exe Dateien. hier das HJT log: Logfile of HijackThis v1.99.1 Scan saved at 01:55:42, on 10.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\D-Tools\daemon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.5.0_08\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Winamp\Winamp.exe C:\Programme\Opera\Opera.exe C:\deskbar.exe C:\WINDOWS\explorer.exe c:\nwnmff_e25.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Dokumente und Einstellungen\ddu\Desktop\progs\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [defender] c:\\dfndrff_e25.exe O4 - HKLM\..\Run: [newname] c:\\nwnmff_e25.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C7715BF7-7359-440E-ABD8-338A1C3F10C2}: NameServer = 192.168.2.1 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\sgsvcs.dll O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\NANFINST.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe kann mir jemand helfen? Ps: ja ich habe aus meinem Fahler gelernt  |
|
10.10.2006, 15:11
| #2 | ||
| Administrator > Competence Manager  | W32/Virut.bZitat:
bei welchen Dateien werden denn die o.g. Meldungen gemacht, bei allen .exe Dateien, egal welche??? Wenn dies der Fall ist, wirst du um eine Neuinstallation nicht drumherum kommen! Lass aber vorerst folgende Dateien bei Virustotal auswerten, und poste anschliessend das Ergebnis, achte darauf das auch die Grßenangabe der Datei mitgepostet wird: Zitat:
 Sunny
__________________ |
|
10.10.2006, 20:54
| #3 | |
| | W32/Virut.b Danke für deine Mühen schonmal
__________________ Die beiden Dateien hab ich geprüft und sie sind NICHT infiziert. Zitat:
 Muss ich meine festplatte jetzt am besten formatieren, oder gibts noch ne andere Lösung? Bei mir öffnen sich im Moment außerdem oft (ca. alle 1-2 min) IE fenster mit Werbung usw. Dabei benutze ich den IE eigentlich nicht, sondern Opera Ich hab auch bemerkt, dass sich auf c:/ nach jedem Neustart ca. 10 Dateien befinden, von denen ich nich tweiß, woher sie kommen. bis auf 2 (C:\dfndrff_e26 und C:\nwnmff_e26) kann ich sie ohne Probleme löschen. Bei den beiden bekomm ich die Nachricht: Zugriff verweigert, wird von einem Programm verwendet Ich hab sie schon im abgesicherten Modus gelöscht, aber nach dem Neustart waren alle wieder da. Ich hoffe es gibt nen Weg, die Viren loszuwerden, ohne zu formatieren... |
|
10.10.2006, 21:02
| #4 | ||
| Administrator > Competence Manager | W32/Virut.bZitat:
 Zitat:
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
10.10.2006, 21:22
| #5 |
| | W32/Virut.b SRY, habs überlesen  Ich hab die Dateien zum umbenennen nicht gefunden... also hab ich den Pfad nochmal bei Virustotal eingegeben: STATUS: FINISHEDComplete scanning result of "sgsvcs.dll", received in VirusTotal at 10.10.2006, 22:16:50 (CET). Antivirus Version Update Result AntiVir 7.2.0.25 10.10.2006 no virus found Authentium 4.93.8 10.10.2006 no virus found Avast 4.7.892.0 10.10.2006 no virus found AVG 386 10.10.2006 no virus found BitDefender 7.2 10.10.2006 no virus found CAT-QuickHeal 8.00 10.10.2006 no virus found ClamAV devel-20060426 10.10.2006 no virus found DrWeb 4.33 10.10.2006 no virus found eTrust-InoculateIT 23.73.18 10.10.2006 no virus found eTrust-Vet 30.3.3125 10.10.2006 no virus found Ewido 4.0 10.10.2006 no virus found Fortinet 2.82.0.0 10.10.2006 no virus found F-Prot 3.16f 10.10.2006 no virus found F-Prot4 4.2.1.29 10.10.2006 no virus found Ikarus 0.2.65.0 10.10.2006 no virus found Kaspersky 4.0.2.24 10.10.2006 no virus found McAfee 4870 10.10.2006 no virus found Microsoft 1.1603 10.10.2006 no virus found NOD32v2 1.1796 10.10.2006 no virus found Norman 5.80.02 10.10.2006 no virus found Panda 9.0.0.4 10.10.2006 no virus found Sophos 4.10.0 10.05.2006 no virus found TheHacker 6.0.1.094 10.08.2006 no virus found UNA 1.83 10.10.2006 no virus found VBA32 3.11.1 10.10.2006 no virus found VirusBuster 4.3.7:9 10.10.2006 no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 Bei 0 bytes kein Wunder, dass kein Virus da is, das gleiche Erbgebnis hab ich bei der anderen Datei. Beide existieren anscheinend nicht... Gute oder schlechte Nachricht?  |
|
10.10.2006, 21:32
| #6 | |
| Administrator > Competence Manager | W32/Virut.bZitat:
 Das die Datei 0KB groß ist bedeutet das der Schädling/Virus/Trojaner sich selbst schützt. Um zu "verbergen" was sich dahinter versteckt. Mach mal die Systemdateien sichtbar -> so wirds gemacht Danach suche nochmals nach dem Pfad. Wenn du die Dateien jetzt findest, umbenennen und asuwerten lassen. Gruß Daniel
__________________ --> W32/Virut.b |
|
| Themen zu W32/Virut.b |
| avira, bho, defender, desktop, drivers, ebay, einstellungen, explorer, helfen, hijack, hijackthis, homepage, hotkey, internet, internet explorer, log, microsoft, msn, opera, programme, software, symantec, system, system32, windows, windows xp |
Hybrid-Darstellung
