Ich scanne gerade mit Avira AntiVir meinen PC und habe schon bei 50% ca. 500 mal den Virus w32/Virut.Gen gefunden. ich habe den pc vor 4 Tagen neu aufgesetzt und jetzt dröhnt AntiVir bereits meine Ohren mit Virenalarmen zu. Könnt ihr aus diesem Logfile irgentwelche Infos entnehmen, wie ich den Virus wieder entfernen kann?

vielen dank im vorraus!
LOGFILE:

Logfile of HijackThis v1.99.1
Scan saved at 17:52:47, on 22.11.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\System32\CTHELPER.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Kerio\Personal Firewall\persfw.exe
D:\Programme\Skype\Plugin Manager\skypePM.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.812\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] D:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: MagicDisc.lnk = D:\Programme\MagicDisc\MagicDisc.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = D:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\Programme\Kerio\Personal Firewall\persfw.exe

Hi,

Virut ist ein Virus, der in großem Tempo alle EXE-Dateien infiziert, deshalb ist die Menge der Funde nicht ungewöhnlich. Außerdem ist er ein Netzwerkwurm, der Windowssysteme ohne Updates übers Netz infiziert, zusätzlich öffnet er ene Backdoor. Da dein Windows überhaupt keine Servicepacks hat, ist das ein möglicher Grund für die Infektion. Ein weiterer möglicher Grund ist es, dass Du irgendeine infizierte Datei auf deinem neuen System gestartet hast.

Abhilfe: Computer gründlich formatieren und neu installieren, vor dem ersten Kontakt mit dem Internet muss das Servicepack 2 installiert werden. In diesem Fall auch alle EXE- und SCR-Dateien auf anderen Datenträgern löschen, da sie ein Grund sein könnten, dass die Infektion in das neue System geschleppt wird. Solche Dateien können auch infiziert sein, wenn sie in ein Archiv (wie ZIP, RAR, usw) gepackt sind. Zur Installation nur Orignaldatenträger, die nicht schreibbar sind, benutzen. Installer für Antivir, Firefox, usw. neu herunterladen.

Gruß, Karl

Hallo,

ich bin auch grad dabei mein System zu scannen und hab dann mal nach dem Virus gegoogelt und bin auf diesesn Threat gestroßen.

Ich hab leider den Virus auch gefunden und er sitzt bei mir auch in vielen System dateien.

Habe XP Pro mit de SP3

Versteh gar nicht wie ich mir den einfangen konnte.
Macht der virus mit SP3 noch was anderes außer die .exe dateien zu infirzieren?

Gibt es noch ne andere Möglichkeit den Virus zu beseitigen und die .exe Dateien wieder herzustellen?
hab viele Freeware Programme und die müsste ich mir dann alle wieder zusammensuchen.

Schonmal danke für die hoffentliche Hilfe

Grüße

P.S. Also ich habe auch immer den Fehler das einen Dll Datei als Programm ausgeführt werden soll und deswegen muss es verhindert werden. Kommt bei so gut wie jedem Systemprogramm wie Taskmanager oder Programmen der Systemsteuerung. Hängt des mit auch mit dem Virus zusammen?

und noch die Engine Version: 7.04.00.50 falls ihr die braucht

so jetzt war mein Scan fertig da hab ich eure Anleitung entdeckt.
Jetzt hab ich alle Programme ausgeführt und hier sind die Ergebnisse:

Maleware ( hat nix gefunden weil ich dummerweise alle Ergebnisse vom AVir in Quarantäne verschoben hab)

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1768
Windows 5.1.2600 Service Pack 3

17.02.2009 12:49:33
mbam-log-2009-02-17 (12-49-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 197038
Laufzeit: 1 hour(s), 34 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

des log von Hijackthis:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:51, on 17.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\tools\Themes\AlienGUIse\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\tools\Themes\AlienGUIse\AlienwareDock\ObjectDock.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\programme\mozilla firefox\firefox.exe
C:\tools\hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\tools\Real Player\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\tools\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alienware Dock.lnk = C:\tools\Themes\AlienGUIse\AlienwareDock\ObjectDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\tools\Messenger\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\tools\Messenger\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
         

Die installierten Programme :

Code: Alles auswählenAufklappen

ATTFilter

Act of War - Direct Action
Act of War - High Treason
Ad-Aware
Adobe Bridge 1.0
Adobe Common File Installer
Adobe Flash Player 9 ActiveX
Adobe Flash Player Plugin
Adobe Help Center 1.0
Adobe Reader 8.1.3 - Deutsch
Adobe Stock Photos 1.0
AGEIA PhysX v7.09.13
Alice-Installationsdateien entfernen
AlienGUIse Theme Manager
ANNO 1503
Auto Gordian Knot 2.45
Avira AntiVir Personal - Free Antivirus
AviSynth 2.5
AVS Update Manager 1.0
AVS Video Converter 6
AVS4YOU Software Navigator 1.3
BlueSoleil
Canon MP Navigator 3.0
Canon MP600
Capitalism II
CCleaner (remove only)
CD Audio Reader Filter (remove only)
Citrix Presentation Server Client - Nur Web
Compatibility Pack für 2007 Office System
DiMAGE Transfer for Maxxum 7D, Dynax 7D
DiMAGE Viewer
DirectVobSub (remove only)
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
DScaler 5 Mpeg Decoders
DS-MP3 Source 1.30
DVD Shrink 3.2 deutsch
Easy Thumbnails (Remove only)
FEAR
ffdshow [rev 1058+] [2007-03-22]
GameHouse Sudoku
Google Earth
Haali Media Splitter
HDAUDIO Soft Data Fax Modem with SmartCP
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
hp deskjet 840c series (nur entfernen)
Iaccarino's Crimson Fields for Pocket PCs
ICQ6
IrfanView (remove only)
Java(TM) SE Runtime Environment 6 Update 1
K-Lite Codec Pack 3.2.5 Basic
KONICA MINOLTA PagePro 1300W
KTP Ware PS/2-WDM 5.0.1.9
Malwarebytes' Anti-Malware
Marvell Miniport Driver
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft ActiveSync
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office XP Standard für Schüler, Studierende und Lehrkräfte
Microsoft Visual C++ 2005 Redistributable
Mobile Broadband Drivers
Mozilla Firefox (3.0.6)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB927977)
Multimedia / Internet Keyboard Driver VerR8.16
MyMDb 3.2.3
Nero 6 Ultra Edition
Nero Reloaded PlugIn Pack 2.0.4 by GEAR
NVIDIA Drivers
o2 Connection Manager
OpenSource Flash Video Splitter (remove only)
PixiePack Codec Pack
PS.de Client 1.0.0.8 
PSFtp Version 1.8
Radiotracker
RealMedia (remove only)
RealPlayer
REALTEK Gigabit and Fast Ethernet NIC Driver
Realtek High Definition Audio Driver
S.T.A.L.K.E.R. - Shadow of Chernobyl
SecureW2 TTLS Client 3.2.0 for Windows 2K/XP
SHOUTcast Source (remove only)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sony Ericsson Symbian 9 Drivers
SpeedSim
STRESS
Synaptics Pointing Device Driver
Texas Instruments PCIxx21/x515/xx12 drivers.
TMPGEnc 3.0 XPress
TuneUp Utilities 2007
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update Service
VirtuaWin v4.0.1
VLC media player 0.9.8a
VobSub v2.23 (Remove Only)
WD Diagnostics
Winamp
Windows Driver Package - Intel (NETw4x32) net  (09/26/2007 11.5.0.32)
Windows Driver Package - Intel (w29n51) net  (07/25/2007 9.0.4.37)
Windows Driver Package - Intel net  (09/26/2007 11.5.0.32)
Windows Internet Explorer 7
Windows Media Format Runtime
Windows XP Service Pack 3
WinRAR archiver
XMedia Recode 2.1.0.3
Xvid 1.1.2 final uninstall
XviD MPEG4 Video Codec (remove only)
Zoom Player (remove only)
Zoom Player deutsche Sprachdateien (entfernen)
         

und noch die gefundenen und bearbeiteten von AVir:

Code: Alles auswählenAufklappen

ATTFilter

eginn des Suchlaufs: Dienstag, 17. Februar 2009  09:42

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AliceCnn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bmwebcfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accvssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> 'C:\WINDOWS\system32\rundll32.exe'
Durchsuche Prozess 'ObjectDock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mHotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> 'C:\WINDOWS\system32\RUNDLL32.EXE'
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wbload.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'rundll32.exe' wird beendet
Prozess 'rundll32.exe' wird beendet
C:\WINDOWS\system32\rundll32.exe
    [FUND]      Enthält Code des Windows-Virus W32/Virut.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0878f0.qua' verschoben!

Es wurden '38' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\puknbdyeh.exe
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Die Registry wurde durchsucht ( '60' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Walhalla\Desktop\AVS_Video_Converter_v6.2.4.330_by_SND\AVSVideoConverter.exe
    [FUND]      Enthält Code des Windows-Virus W32/Virut.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ed7b03.qua' verschoben!
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\msinfo32.exe
    [FUND]      Enthält Code des Windows-Virus W32/Virut.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a038336.qua' verschoben!
C:\RECYCLER\S-1-5-21-1606980848-1425521274-725345543-1003\Dc175.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Inject.LG
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cb8428.qua' verschoben!
C:\System Volume Information\_restore{A2AF426E-61FF-4426-880F-7EF8A89D1C78}\RP496\A0084705.exe
    [FUND]      Enthält Code des Windows-Virus W32/Virut.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ca8516.qua' verschoben!
C:\System Volume Information\_restore{A2AF426E-61FF-4426-880F-7EF8A89D1C78}\RP497\A0084818.exe
    [FUND]      Enthält Code des Windows-Virus W32/Virut.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ca851f.qua' verschoben!
C:\System Volume Information\_restore{A2AF426E-61FF-4426-880F-7EF8A89D1C78}\RP497\A0084821.exe
    [FUND]      Enthält Code des Windows-Virus W32/Virut.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ca8522.qua' verschoben!
C:\System Volume Information\_restore{A2AF426E-61FF-4426-880F-7EF8A89D1C78}\RP497\A0084824.exe
    [FUND]      Enthält Code des Windows-Virus W32/Virut.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ca8525.qua' verschoben!
C:\System Volume Information\_restore{A2AF426E-61FF-4426-880F-7EF8A89D1C78}\RP497\A0084825.exe
    [FUND]      Enthält Code des Windows-Virus W32/Virut.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ca8527.qua' verschoben!
C:\System Volume Information\_restore{A2AF426E-61FF-4426-880F-7EF8A89D1C78}\RP497\A0084826.exe
    [FUND]      Enthält Code des Windows-Virus W32/Virut.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ca852c.qua' verschoben!
C:\System Volume Information\_restore{A2AF426E-61FF-4426-880F-7EF8A89D1C78}\RP497\A0084827.exe
    [FUND]      Enthält Code des Windows-Virus W32/Virut.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ca852f.qua' verschoben!
C:\System Volume Information\_restore{A2AF426E-61FF-4426-880F-7EF8A89D1C78}\RP497\A0084830.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Inject.LG
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48699b90.qua' verschoben!
C:\WINDOWS\system32\logonui.exe
    [FUND]      Enthält Code des Windows-Virus W32/Virut.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a018849.qua' verschoben!
C:\WINDOWS\system32\puknbdyeh.exe
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Dienstag, 17. Februar 2009  10:50
Benötigte Zeit:  1:08:15 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  27935 Verzeichnisse wurden überprüft
 646308 Dateien wurden geprüft
     15 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     13 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      5 Dateien konnten nicht durchsucht werden
 646288 Dateien ohne Befall
   5064 Archive wurden durchsucht
      5 Warnungen
     13 Hinweise
         

Hallo newvirus,

Das ganze kann man kurz abhandeln.

Zitat:

Macht der virus mit SP3 noch was anderes außer die .exe dateien zu infirzieren?

Siehe Posting von KarlKarl.

Zitat:

Gibt es noch ne andere Möglichkeit den Virus zu beseitigen und die .exe Dateien wieder herzustellen?

Nein!

Naja Blöd gelaufen

Aber trotzdem danke.

Grüße

Das passt ja gut der thread is noch bissel aktiv ich bin gerade mit mein pc on wo ich gestern die virenmeldung W32/Virut.gen bekommen hab mein Avira hat sofort angeschlagen und ich konnte den sofort löschen ich hatte auch die virusmeldung TR/conHook.gen bekommen vor 2jahren hatte ich schonmal ein W32 virus der sich W32/Vundo nannte damit war jede .exe datei infiziert ich konnte garnichts mehr machen ich musste auf ein usb stick VundoFix laden und konnte das auch benutzen und somit war der virus weg aber nochmal zu den anderen 2 viren die ich gelöscht hab können da noch nachspiele kommen weil beim pc start war mein avira antivir guard deaktiviert ich merk aber vom virus nichts das einzigste war gestern als ich den bekommen hab hat sich ne website geöffnet die aber net gefunden werden konnte und der windows installier wollte starten danach hab ich sofort pc ausgemacht internetstecker gezogen und avira scan durchlaufen lassen.

Meine frage is noch is das hijack log noch notwendig oder ist er jetzt weg? ich wollte mein PC eh noch die tage formatieren wegen meiner festplatte ich hab ne partition drin die aber net formatiert is und die is 150gb gross und meine jetzige is nur 100gb gross

und es ist passiert 2 neue viren im Windows ordner namens TR/Vundo.gen Avira gibt kaum informationen zu dem virus und ich glaube das es mal wieder eine fehlmeldung ist ich hatte auch noch viele andere viren gestern die mir grade eingefallen sind TR/Crypt.xpack.gen TR/Dropper.gen TR/Agent.bpik und jetzt auch TR/Vundo.gen der oben geschrieben ist

die drei Crypt Dropper und Agent waren ungefähr dort In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\

und Vundo war in In der Datei 'C:\WINDOWS\system32\xxyyaYol.dll'
und In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O9M34923\CA2BC963 obwohl ich IE schon seit monaten net mehr benutze ich hab XP professional SP2

Hallo PloXx

Zitat:

ich wollte mein PC eh noch die tage formatieren

dann mach das,ist der sicherste und wahrscheinlich auch der schnellere Weg

Hi Leute .
lso ich hatte auch das Proiblem mit diesem Virut.gen .
Habe einiges ausgetestet und am Ende habe ich die Lösung gefunden ,denke ich .
Geht in Ausführen , dann regedit und unter bearbeiten , suchen einfach Virut eingeben und die registry durchsuchen lassen.
Dann findet er einen Eintrag in der Reg. ( Zumindest war`S bei mir so ) .
Den auf jeden Fall löschen , dann unter normaler suchoption dateien ..... und so auch den Virut suchen ,da fand er bei mir 2 Einträge im Temp Ordner . Die löschen , ABER MIT Shift und Entf , wichtig , damit er es gar nicht irgendwo sonst noch mal ablegt , der Rechner .
Dann mal Antivir durchlaufen lassen und das Antimalware Programm von dem Link hier : http://www.malwarebytes.org/mbam.php

Nicht den Quick scan .

Das ganze aber dann Offline also am besten die Leitung kappen .

So ich hoffe ,das ich euch damit helfen konnte , ich hab antivir 4 mal durchlaufen lassen und es kam nichts mehr .

Vermutlich hattest Du keine Virut-Infektion, denn der infiziert Dateien, da lässt sich nichts mir löschen irgendwelcher Schlüssel in der Registry machen. Bei der Meldung "Virut.Gen" besteht auch eine (allerdings sehr kleine) Wahrscheinlichkeit, dass es ein Fehlalarm war.

hm dann hab ich wohl scheinbar echt glückgehabt , ich weiß nur ,das es exe dateien waren , so 40 50 stück aber nu is ruhe .
ber naja kann man ja vorher nicht wissne , ich sagte ja auch : Ich denke

Hallo,

Ich habe die letzten Tage auch meinen Spaß mit diesem und anscheinend noch einem Virus gehabt. Netcologne hat meinen Internetzugang sogar gesperrt, weil von meinem Rechner Viren ins Internet gingen. Ich habe erst eine Schnellformatierung gemacht und Windows neu aufgespielt. Das hat nichts geholfen. Einer der beiden Viren hat direkt nach dem download Antivir modifiziert sodass ich es nicht installieren konnte. Ich habe es dann geschafft mit "e-scan" den anderen Virus zu entfernen. Mein Windows war danach allerdings auch vollkommen durchlöchert. Also nochmal Formatiert ... diesmal die ausfürlichere Variante. Direkt danach Antivir von sauberer Quelle aufgespielt und den rechner gescannt Dabei wurden dann ca 300 infizierte Dateien und 900 regeinträge gefunden, die AV in Quarantäne geschoben hat. Sicherheitshalber habe ich sie alle gelöscht. Jetzt muss ich natürlich alle Programme und Spiele neu installieren aber wenigstens läuft mein System noch. Es scheint, als wäre mein Rechner jetzt endlich sauber ... nach der komplettreinigung habe ich meinen Internetzugang wieder aktivieren lassen und ebenfalls die wlankarte reaktiviert. Soweit meine Erfahrungen mit "W32/virut.gen"
Also alle infizierten exe dateien löschen, Bootlaufwerk formatiern, System neu drauf nochmal scannen und alles entfernen, falls noch etwas da ist dann ist man ihn anscheinend los. Falls er sich nochmal zeigt, melde ich mich nochmal zu wort ;-)

Bei Virut sollte man auch beachten keine ausführbaren Datein zu sichern, wenn dann nur Bilder, Dokumente und Lieder.

hallo,
bei mir wurde derselbe gefunden..
bei mir mir ist es nur so, dass ich keine ordner mehr öffnen kann.. die färben sich dann dunkel und es passiert nichts.. wenn ich den arbeitsplatz oder eigene dateien öffne, kommt suchen.. ich hab in der registry nachgeguckt, da ist alles normal eingestellt auf none
als ich antivir laufen lief, stand im bericht "ist ein trojanisches pferd".. da wurden so viren wie:
TR/Downloader.Gen
TR/Dropper.Gen
W32.Virut.Gen
gefunden.. hab den CCleaner und Anti- Malware laufen lassen, aber es ändert sich nichts
was kann ich tun?