Hallo Leute,

wir benötigen Eure geschätzte Hilfe - obwohl unser Sohn auf seinem Rechner antivir 2006 drauf hatte hat der W32.virut.w seine gesamten exe-dateien infiziert. Trotz aller Bemühungen wird er diesen Virus nicht los - haben schon alles Mögliche ausprobiert - bifender geht nicht, Kaspersky keine Chance, u.u.u.
Neuinstallation gemacht, aber sogleich alle exe-Dateien wieder infiziert
Der Sohnemann sitzt jetzt seit 3 Tagen dran und verzweifelt!

Kann jemand bitte helfen?

Gruß ElfeSandy

Sorry, wir sind es noch einmal,

anbei das logfile:
Hijack findet übrigens Nichts. Trotzdem ist der Virus trotz Neuinstallation sofort wieder da. Virenprogramm, egal welches, lässt sich nicht mehr installieren.
Wir haben schon alles mögliche versucht - null Ergebnis!

Logfile of HijackThis v1.99.1
Scan saved at 16:32:48, on 21.10.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
E:\Programme\Razer\Diamondback\razerhid.exe
E:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Razer\Diamondback\razertra.exe
E:\Programme\Razer\Diamondback\razerofa.exe
E:\Programme\Trillian\trillian.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\HijackThis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Diamondback] E:\Programme\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "E:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: WimpWall.lnk = F:\Nicht oft gebraucht\WimpWall.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192968047125
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C76AD4F-83C2-4A48-9AF6-9F03F5DEB79F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4C76AD4F-83C2-4A48-9AF6-9F03F5DEB79F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{4C76AD4F-83C2-4A48-9AF6-9F03F5DEB79F}: NameServer = 192.168.0.1
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - E:\Programme\Virusfighter\Nvc\BIN\nipsvc.exe (file missing)


Im voraus Danke!

Hi,

Virut ist sehr vielseitig:

• Er infiziert sehr schnell alle EXE-Dateien, auf die er zugreifen kann.
• Er öffnet eine Backdoor.
• Er infiziert ungepatchte Rechner als Netzwerkwurm.

Das HijackThis verrät, dass auf diesem System keine Servicepacks installiert sind, damit besteht die Möglichkeit dass die Infektion von außen kam. Da ihr ja wohl einen Router habt, muss man davon ausgehen, dass dann die Ursache ein anderer Computer im lokalen Netz ist, denn durch einen Router funktioniert das nicht (jedenfalls nicht, solange man nicht kriminelle Löscher in ihn hineinkonfiguriert hat).

Zweite Möglichkeit: Es wurde irgendeine EXE-Datei im Rahmen der Neuinstallation benutzt, die infiziert war. Dabei auch daran denken, dass Installationsdateien auf USB-Sticks und -Platten infiziert sein können, ebenfalls welche, die auf CD/DVD gesichert wurden. Hier sollte grundsätzlich nur eine Neuinstallation von Original-CDs erfolgen. Alle anderen Installationsdateien müssen neu geladen werden. Eine einzige infizierte EXE-Datei in das neue System mitgenommen macht es sofort wieder kaputt. Auch Dateien aus irgendwelchen "Tausch"-Börsen sind oft infiziert. Außer EXE-Dateien gilt das auch für SCR-Dateien, das sind umbenannte EXE-Dateien, die als Bildschirmschoner benutzt werden sollen.

Einfach noch mal neu anfangen: Installationsanleitung

Gruß, Karl

Hallo Karl,

vielen Dank für Deine Antwort.
Die Neuinstallation hat mein Sohn schon durchgeführt.
Unsere beiden anderen Rechner sind übrigens durch PSS geschützt-da sind auch die Servicepacks 1+2 und Upgrades installiert; der von meinem Sohn wurde von antivir geschüzt.
Da auf mehreren Partitionen exe-Dateien existieren, konnte der Virus nicht entfernt werden.
Wir suchen noch einen Weg/Hilfe, die Dateien zu desinfizieren, da einige von ihnen unentberlich sind.
Kennst Du da eine Möglichkeit?

Gruß und vorab Danke!
ElfeSandy

Wie schon erklärt ist jede verbleibende EXE-Datei eine große Gefahr, dass die Seuche wieder um sich greift. Das gilt für alle Partitionen.

Ich habe noch diverse Threads und Artikel gelesen, da ist es eigentlich immer auf eine Neuinstallation hinausgelaufen. Für seine Software hat man ja die Orignale, die sind nicht beschreibbar, so dass sie mit Sicherheit nicht infiziert sind. So wie die Windows-CD. Von denen neu installieren. Firefox usw einfach neu herunterladen. Zwischendurch bin ich aber auf einen (auch schon etwas älteren) Hinweis gestoßen, dass der Bitdefender Onlinescanner wohl reicht gut in der Erkennung von Virut sein soll und einige Dateien eventuell entseuchen können. Ebenso Sophos.

Virut taucht die letzte Zeit auch wieder häufiger auf, dazu in immer neuen Versionen. Eine (allerdings etwas ältere) habe ich mal genauer untersucht, bei denen war das so, dass im Zuge der Infektion Daten der Originaldatei überschrieben wurden, damit ist keine Wiederherstellung mehr möglich.

Sophos drückt das so aus (allgemein, nicht speziell auf Virut schauend):

Zitat:

Infizierte Dateien können nicht immer so wiederhergestellt werden, dass Sie den Originalzustand erhalten. Bei einer desinfizierten Datei kann nicht garantiert werden, dass sie problemlos funktioniert. Um Dateien wieder in ihren Originalzustand zu bringen, sollten diese von Backups, originalen Datenträgern oder einem virenfreien Computer wiederhergestellt werden.

Details dürften auch von der genauen Virus-Variante und von den befallenen Dateien abhängen. Manche Dateien werden wohl bereits bei der Infektion zerstört, der Virus enthält einen Programmierfehler.

Hallo Karl,

herzlichen Dank für Deine Bemühungen - tja, wir haben schon gemerkt, dass wir wohl um eine generelle Neuinsatllation nicht "rumkommen.
Er hatte gehofft, noch irgendwelche dateien desinfizieren zu können und damit diese zu retten. War wohl nix!
Sophos hat leider nicht helfen können.
Bitdefender - ja, da hat mein Sohnemann etwas ausprobiert - ob das der Onlinescanner war - muss ich ihn nachher fragen.

Nun denn, dann muss er mal weitermachen.
Trotzdem Danke nochmals
ElfeSandy

Gerade vorhin (auf der Scuhe nach ganz was anderem) bin ich noch über einen weiteren Tip gestolpert: Dr. Web gilt als sehr gut im Umgang mit Virut.