Hallo Forums-Leser,

dies ist mein erster Beitrag und ich hoffe sehr, dass ich hier eine Lösung für mein Problem finde

Ich habe seit einigen Tagen das Problem, dass ich einen Virus nicht loswerde. Ich habe Windows XP SP2.

Ich habe Norton Internet Security mit den aktuellsten Dateien. Beim Scan nennt es mir folgenden Virus: W32.Viru!gen

Dieser befindet sich momentan in folgenden Dateien, verbreitet sich aber weiter:

windows\system32\svchost.exe
windows\system32\ctfmon.exe
windows\system32\spoolsv.exe
windows\system32\wbem\wmiprvse.exe
program files\java\jre1.5.0_03\bin\jusched.exe

Das Problem ist, wenn ich die Dateien in Quarantäne versetze, funktioniert Windows nicht mehr. Es dauert ewig bis es bootet, die Taskleiste ist grau und sieht nicht mehr so aus wie vorher, ich bekomme keine Internet-Verbindung und und und.

Ich habe in den letzten Tagen bereits 4 Mal meine Partition C: formatiert und alles neu installiert. Gestern habe ich zunächst Norton installiert, alle Updates geholt, und gescannt: Kein Virus. Dann die ganzen Windows XP updates geladen, Treiber und einige Software installiert: Kein Virus.

Heute morgen habe ich alles zu Ende installiert, und nun habe ich ihn wieder.

Wie kann ich den Virus entfernen, ohne dass ich Windows wieder neu installieren muss? Das nervt mächtig.

Ich bitte um Hilfe !

Hallo,
Ich gehe stark von einem Fehlalarm aus, da diese dateien zum System gehören.
Vielleicht kannst du diese dateien einmal bei Virustotal auswerten lassen, um dir ganz sicher zu sein.
Desweiteren könntest du ein Hijack-This logfile anfertigen um zu überprüfen,ob sonst alles in ordnung ist.

Vielleicht ist der Virus ja nicht im Betriebssystem oder auf der Festplatte, vielleicht ist dein BIOS verseucht? Ich bin kein Spezialist, aber wenn es wirklich so ist, biste ganz schön arm dran, ich weiß nicht genau wie sich sowas verbreiten kann oder auswirkt, leider auch nicht wie man sowas entfernen kann.

Zitat:

Zitat von WildliFe

, leider auch nicht wie man sowas entfernen kann.

das kann man nicht entfernen ohne sich neue Hardware zu kaufen soweit ich weiß.

Kann denn durch einen BIOS Wurm auch andere Hardware beschädigt werden (ich meine nicht physikalisch), also verseuchen o.ä.?

Gibt es Programme, die Dateien bereinigen und nicht löschen?

So, ich habe den Check mal gemacht: Nichts gefährliches.

Aber Norton meldet nach Reparatur von WinXP folgende Dateien als infiziert:

ctfmon.exe
dllhost.exe
wdfmgr.exe
wmiprvse.exe

Ich bin ratlos...

Hi,

nix Fehlalarm. Virut infiziert EXE-Dateien. Ist "nebenbei" auch noch ein Netzwerkwurm, kann also Systeme, denen Updates fehlen, über Netzwerk/Internet infizieren und öffnet, als ob es nicht schon genug wäre, auch noch eine Backdoor. Kleiner Trost: Das Bios infiziert er nicht.

Die Kur ist Formatierung und Neuinstallation. Wenn er danach wieder auftaucht, dann liegt es üblicherweise an einem der folgenden Fehler:

• Der Rechner wurde vernetzt, bevor alle Updates (zumindest das SP2) installiert waren.
• Es wurde irgendeine infizierte EXE-Datei aus dem alten in das neue System übernommen. Dabei beachten, dass SCR-Dateien als Bildschirmschoner umbenannte EXE sind, die werden auch infiziert. EXE-Dateien auf nur zeitweise angeschlossenen Laufwerken (USB-Platten und -Sticks) oder gebrannte Sicherungen kommen ebenfalls in Frage, müssen also auch gelöscht werden.
• Falls du Software aus Torrent, EMule usw. hast, kann der Virut da auch in ZIP, RAR usw. versteckt mit drin sitzen. Solche Downloads ebenfalls alle löschen.

Neuinstallation also nur von Original-CDs, Verbindung mit Internet/Netzwerk erst nach der Installation der Updates, andere benötigte Installationsdateien neu herunterladen.

Es ist schwierig, aber man kann ihn ausrotten, wenn man radikal vorgeht.

Gruß, Karl

Zitat:

Zitat von picotto

ctfmon.exe
dllhost.exe
wdfmgr.exe
wmiprvse.exe

Also wenn diese dateien im Ordner C:/windows/system32 liegen sollten sie in ordnung sein.

Nein

Virut infiziert in großem Tempo alle EXE- und SCR-Dateien des Systems und macht bestimmt nicht vor dem Windows-Systemordner halt.

Übrigens: Im abgesicherten Modus werden keine Viren gefunden.

Die Registry ist auch infiziert, jedes mal der Befehl run ctfmon.exe

Ich habe jetzt ein paar Dateien manuell gelöscht, auch Einträge in der Registry. Nach dem Neustart sind noch zwei Sachen infiziert:

svchost.exe
eine Datei im Browsercache

Selbst nachdem ich den Cache von Firefox und IE gelöscht habe taucht es noch auf.

Wie gesagt, mit svchost.exe in Quarantäne kann ich mit Windows nicht arbeiten.

Wo versteckt sich dieser sche** Virus?

Habe nochmal eine Formatierung von meiner Partition C: gemacht, und nach der Installation von Windows XP nur Norton Internet Security installiert. Der hat nichts gefunden.

Dann habe ich Norton deinstalliert und Kaspersky Internet Security installiert. Und siehe da: Über 400 Mal der W32.Virut gefunden, besonders häufig in dem System Volume Information von Partition D:.

Habe die Systemwiederherstellung deaktiviert, im abgesicherten Modus Kaspersky laufen lassen. Dann hat er nur noch ca. 50 infizierte Programmdateien gefunden, die ich alle gelöscht habe. Manuell habe ich dann noch die System Volume Inf. Ordner gelöscht.

Jetzt scheint alles bereinigt zu sein...

EXE-Dateien auf anderen Partitionen sind bei Virut ebenfalls ein Risiko. Sollte der eingesetzte Scanner nur eine übersehen haben, kannst wieder neu anfangen.