Viren überleben Formatierung

N3cr0 · 25.08.2007, 22:58

Hi!
erstmal meine Kiste:
Winxp SP2
Abit NF-M2S Mobo
1 gb ram
Amd x2 4600+
xpertvision geforce 7600gs

So und nun zu meinem Wehwehchen:

Vor einigen tagen kackte mein rechner plötzlich und unerwartet ab. Vorher starteten sich so meiner meinung nach mindestens 10 verschiedene viren(o.Ä) auf einmal. Nach dem reboot hatte ich dann ne nette online dating verknüpfung aufm desktop und bestimmt 10 *.tmp prozesse am laufen, nichts ging mehr.
viele der *.tmp dateien sind in /windows/temp...nach löschung mit killbox sind sie nach einem neustart wieder da(Systemwiederherstellung auf allen laufwerken deaktiviert)
Nach einigen fehlgeschlagenen scans und schließlich dem endgültigem tod meines computers ( nach deaktivierung von "pc bei bei fehler neustarten" oder so im boot menü erschien beim booten ein zur hälfte flimmernder, nicht ganz lesbarer bluescreen der mir freundlicherweise mitteilte das winlogon.exe gekillt wurde -.-"). Ich muss zugeben das ich selbst dran schuld bin weil ich vorher überheblicherweise weder firewall noch antivirus drauf hatte...naja schließlich in den sauren appel gebissen und windows partition formatiert....aber pustekuchen, nach ein paar minuten bzw. treiberinstallationen meldete mir windoof dann bei fast jedem programm das ich installieren wollte das ich für die erstellung diverser registry schlüssel keine rechte hätte und das ich auch kein recht hätte irgendwo dateien zu erstellen....AVG antivirus sowie nero erzählten mir das ihre dateien vermutlich durch einen Virus modifiziert worden wären und sich selbst beenden müssten. Bei Antivir, nach nochmaligem kill der partition C:, kam übrigens der selbe schmus...irgentwann hab ich es dann doch geschafft irgendwie zu scannen und hab auch meiner meinung nach einige viren entfernt....jedenfalls meldete das AVG...also danach nochmal formatiert und vor dem online gehen zone alarm und antivir installiert.....antivir ist mittlerweile wieder tot dafür läuft zone alarm...heute erstmal mit knoppicillin 5 alle partitionen gescannt....da wo antivir/AVG dateien findet, diese aber nicht entfernen kann, findet knoppi nichts. Hab grade mit F-Secure Blacklight nach Rootkits gescannt, aber auch nichts gefunden.

übrigens kann ich cmd nicht öffnen, es erscheint nur für bruchteile von sekunden um dann wieder zu verschwinden. Vor dem letzten Format konnte ich in der Systemsteuerung(nur noch klassische ansicht!?!) bis auf die Verwaltung keine der Optionen mehr öffnen...ich bekomme andauernd fehler in allen programmen und mein pc ist schon beim explorer saulahm (was bei meinem rechner und nem frischen windoof ja eigentlich nicht sein sollte)
der taskmanager war auch im arsch, habe ich aber mittels registry fix wiederbelebt...

Hat einer ne idee wie ich meinen PC wieder sauberbekomme?

kann die anderen beiden partitionen nur schlecht formatieren weil da bestimmt 100 gb files drauf sind die ich nicht verlieren will...und 25 dvds brennen will ich auhc nicht...

Hier noch mein hijackthislog:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:55:51, on 25.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Java\jre1.6.0_02\bin\jusched.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\ICQ6\ICQ.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Winamp\winamp.exe
D:\WINDOWS\system32\msiexec.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - D:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4188 bytes

<---
ist laut homepage auswertung aber sauber

Hoffe jemand kann mir helfen....

N3cr0

cosinus · 25.08.2007, 23:58

Hallo.

Zitat:

Viren überleben Formatierung

Allein schon durch deine Überschrift muss man leider schließen, dass du beim Neuaufsetzen irgendetwas falsch gemacht haben musst, denn Viren oder allgemein Schädlinge aller Art überleben keine Formatierung. Es gibt zwar noch Bootviren, die sich im Bootsektor einklinken, aber die wird man auch schnell los, und sollten eigentlich beim normalen Neuaufsetzen mit entfernt werden.

Zitat:

weil ich vorher überheblicherweise weder firewall noch antivirus drauf hatte

PfW und Virenscanner sind beide keine wesentliche Sicherheitsmerkmale! Das sind zusätzliche Programme, die bestenfalls den Schutz ergänzen können!

Du musst viel "früher" anfangen: System aktuell halten (Patches zeitnah einspielen) - das gilt v.a. wenn du mit einem frischen WinXP ins Internet willst, da sollte zumindest das Sp2 installiert sein vor der allerersten Internetverbindung

Wenn du also nach dem Neuaufsetzen wieder Schädlingsbefall hast, dann liegt das entweder am Patchlevel und der herstellung einer (ungeschützten) Internetverbindung, oder du hattest versifftest Zeug auf der aneren, nicht formatierten Datenpartition ausgeführt.

Ich wär dafür du setzt nochmal neu auf, aber richtig. Offline SP2 installieren (von einer sauberen Quelle!!!), und bevor du weiteres machst, alle ausführbaren Dateien auf der Zweitpartition löschen - Bilder, Musik, Videos oder Office Dokumente kannste behalten, den Rest runterschmeißen (alle evtl. Programme und Spiele nat. auch!)

atticus · 26.08.2007, 12:07

Da muss ich ganz kurz wiedersprechen. Es gibt Viren (so einen hat ich auch) die sich in einen unpartitionierten Bereich auf der Festplatte einschleichen (8 mb groß) den man nicht formatieren kann. Dort versteckt sich dann der Virus. Also das hat mir jemand erzählt. Natürlich könntest du mal probieren die Platte zu formatieren, alle Massenspeicher auszustecken und dann die BAtterie aus dem Motherboard für ca. 5 min zu entfernen. Dann neuinstallieren und neue Biostreiber druff. Das hat bei mir geholfen. Außerdem hat ich noch ein Pogramm namens True Sword 4. Das hat super geholfen.