oder macht die bastellei gar keinen sinn mehr? das problem dabei ist, antivir läßt sich nicht installieren und trendmicro onlinescanner tut außer stundenlanger vorbereitung auch nix

hier mal das logfile... sind soweit wie ichs gesehen habe mindestens 3 böse sachen drin... von einigen anderen hab ich gar keine ahnung was das ist
winlogen.exe
svchost.exe
csrssc.exe


mittlerweile hängt sich auch HijackThis auf

Hi,

also wenn es nicht mal mehr möglich ist, hier ein Log zu präsentieren, weil gar nichts mehr geht, dann ist es das Beste, zu formatieren und neu zu installieren. Mein Kaffeessatz sagt mir nicht, was auf deinem System los ist und diese drei Dateinamen alleine sind auch nicht annähernd eine Information, auf der man irgendwas bauen könnte.

Gruß, Karl

so, ich hab dem virus ein paar meldungen abringen können. da ich zwei pc habe, kann ich mit dem hier wenigstens noch nach hilfe schreien. ein großes danke schonmal an die, die sich die mühe machen mir zu helfen.

nun genug der vorrede. an die arbeit

ich kann an dem pc eigentlich nix mehr machen, wenn er online geht. wenn ich ihn starte kommt folgende meldung:

Zitat:

das system wird herunter gefahren. speichern sie alle daten und melden sie sich ab. alle änderungen, die nicht gespeichert werden gehen verloren. das herunterfahren wurde von nt-autorität\system ausgelöst.

zeit bis zum herunterfahren 00:00:58

meldung
der systemprozess
c.\windows\system32\services.exe wurde unerwartet mit dem statuscode - 1073741819 beendet. das system wird heruntergefahren und neu gestartet

erfährt runter startet neu und das spielchen geht immer so weiter...

die nächste sache:

ich habe versucht antivir zu installieren... leider erfolglos: da kommt folgende meldung:

Zitat:

die crc-summe von c:\dokum....\sushi\lokale...\temp\rarsfx0\basic\setup.exe wurde verändert. die könnte von einem virus verursacht worden sein.

installation bricht ab.

habe ohne netzkabel hijachthis laufen lassen und es auch bis zum logfile geschafft. ich hoffe ich transportiere den virus jetzt nicht noch per stick hier auf den pc.

es wär gut, wenn ich ihn wieder so weit zum laufen bringen könnte, daß ich vor dem format noch ne datensicherung machen kann, in der hoffnung den virus oder was auch immer da drauf ist, mitzusichern

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:57:03, on 25.10.2003
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\NCS\Sync\NetSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\sushi\LOKALE~1\Temp\svchost.exe
C:\DOKUME~1\sushi\LOKALE~1\Temp\winlogen.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ARCORO~1\Arcor.exe
C:\Programme\wetterde\wettermelder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\IrfanView\i_view32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [ascsched] C:\WINDOWS\ascsched.exe
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOKUME~1\sushi\LOKALE~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [ksjf93orkekfniw73nfdd] C:\DOKUME~1\sushi\LOKALE~1\Temp\winlogen.exe
O4 - HKLM\..\Run: [e0cbfe68] rundll32.exe "C:\WINDOWS\system32\lvtwtluv.dll",b
O4 - HKCU\..\Run: [Arcor Online] C:\PROGRA~1\ARCORO~1\Arcor.exe /inst_typ:2 /kunden_typ:bestand
O4 - HKCU\..\Run: [wetterde.newstool] C:\Programme\wetterde\wettermelder.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ksjf93orkekfniw73nfdd] C:\DOKUME~1\sushi\LOKALE~1\Temp\winlogen.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: lzwwib.dll
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O22 - SharedTaskScheduler: lksdfj98w3rmsekfnaui3rgfdgf - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\ksaf83hfd.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\SYSTEM32\GEARSEC.EXE (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\ImapiRox.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 7581 bytes

grad gesehen... in diesem logfile ist die csrssc.exe gar nicht mehr zusehen... habe aber nix bereinigt oder so, hat die sich versteckt?

Das ist ja richtig verheerend, nur weil eine Datei gerade nicht mehr zu sehen ist, wird das kein Stück besser.

Da Du aber mehrere Computer hast, hast du es sehr einfach. Sorge erstmal dafür, dass auf dem nichtinfizierten Computer ein voll aktualisierter Virenscanner ist, z.B. Antivir ist eine gute Wahl. Dann baue die infizierte Platte in den anderen Computer ein und rette deine Daten. Anschließend Platte zurück, formatieren und neuinstallieren.

Drei Punkte fallen mir dazu noch ein:

1. solltest Du keinerlei ausführbare Dateien, Programme, Installer, usw. sichern, wirklich nur reine Daten wie texte, Bilder, MP3, usw.

2. Es droht ein gewisses Risiko, dass auf der infizierten Platte in C:\ eine Datei autorun.inf angelegt wurde, die irgendeine Malware starten würde. Schau mal in dieses Verzeichnis ob es dort eine solche Datei gibt. Zusätzlich kannst du ein Verzeichnis anlegen mit diesem Namen. wenn das klappt, ist es sicher, dass es die Datei nicht gibt, da es in einem Verzeichnis nicht ein Verzeichnis und eine Datei mit dem gleichen Namen geben kann.

3. Unter der vielen Malware ist auch ein Wurm dabei, von dem beschrieben wird, dass er sich freigegebene Verzeichnisse von Filesharing-Programmen wie Emule, Torrent, Kazaa, Limewire, usw. vornimmt und die Dateien dort infiziert. Falls Du also sowas hast, sollte dort ebenfalls nichts gesichert werden.

Glatt vergessen: Wegen diesem runterfahren: Wenn das Fenster mit dem Countdown erscheint, dann schnell Start -> ausführen -> "shutdown -a" (ohne "") eingeben -> OK. Kann klappen so dass das Runterfahren abgebrochen wird, falls allerdings Windows zu sehr fertig ist, kann es auch sein, dass das nicht mehr hilft.

danke dir. das werd ich morgen in aller ruhe machen.

eine frage habe ich noch zu der datensicherung.

wie meinst du das mit der infizierten platte in den anderen pc einbauen... zuätzlich zu der, die drin ist? wenn ja, kriege ich da nicht ein problem, wenn auf beiden ein windows ist, von dem er booten kann? und die pc haben unterschiedliche winxp... der eine professional und der andere home


ich habe die platte partitioniert. reicht es, wenn ich die daten der partition c sichere und nur diese formatiere oder muß ich auch die anderen partitionen löschen? wenn ja... zuerst mit s0kill alles richtig total platt machen oder muß es so doll nicht unbedingt sein?

das ganze zeugs habe ich mir über meinen usb-stick eingeschleppt, der liegt mittlerweile in der tonne

Nein, wenn Du die Platte einfach in den anderen Rechner einbaust wie Du eine Platte ohne Betriebssystem dort einbauen würdest (z.B. um mehr Platz für Daten zu haben), dann startet er von seinem normalen System. Es wird der MBR von der ersten Festplatte gelesen, dort ist der Bootlader und der weiß nur von dem einen System.

Im Prinzip reicht es die Systempartition neu zu machen (das aber richtig, nicht Reparatur oder "drüber installieren"). Vor weiteren Zugriffen auf andere Partitionen solltest Du die allerdings auch vom saauberen System aus sehr gründlich scannen, am besten sogar mit mehreren Scannern, wir können nicht ganz ausschließen, dass da auch was beisein könnte, was z.B. EXE-Dateien auf anderen Partitionen infizieren könnte. Bei installiertem Antivir könntest Du dann noch ein paar Onlinescans nutzen.

Ein Stick lässt sich übrigens auch formatieren, den muss man nicht gleich wegwerfen.

Alternativ könntest Du zur Datensicherung auch ein anderes System von CD auf dem befallenen Rechner starten: Knoppix

die beseitgung mit format c hat sich nicht als erfolgreich erwiesen....

was habe ich gemacht:

daten (nur dokumente, keine proggis) von c gesichert, waren glücklicherweise nicht viele, die ich unbedingt aufheben muß

dann pc neu gestartet
partition gelöscht
neue partition erstellt
formatiert
windows installiert
antivier herunter geladen
gesamten pc gecheckt
nebenbei windowsspielchen zum zeitvertreib

ergebnis:
auf meiner downloadpartition weitere viren und trojaner entdeckt

kurz nach dem ende des checks fing das wieder an, daß mein pc heruntergefahren und neu gestartet wird.
also netzkabel gezogen und pc neu gestartet (so kommt das mit dem runterfahren nicht mehr)

als nächstes wollt ich antivir starten. -> programm kapput, geht nicht zu starten

die windowsspielchen zu spielen hatte ich plötzlich keine rechte mehr


also, die wichtigen sachen, die ich vom downloadpartition aufheben muß gesichert und das ganze spiel beginnt von vorn...

jetzt für partition c und e

antivir hat bei dem scan in 23 verseuchte dateien entdeckt...

ich vermute mal, daß antivir bei dem scan den virus wieder aktiviert hat oder kann der trotz meiner maßnahmen noch irgendwo gesteckt haben?

hier mal der anfang des logs, der rest ist ja nur die auflistung des ungeziefers.....

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 26. Oktober 2003 15:08

Es wird nach 1369550 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: ich
Computername: ARBEIT-MZ4Z9T8P

Versionsinformationen:
BUILD.DAT : 8.2.0.334 16933 Bytes 16.10.2008 14:53:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 09:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 11:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 14:54:15
ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30.06.2008 06:20:53
ANTIVIR3.VDF : 7.0.5.23 17408 Bytes 30.06.2008 10:24:47
Engineversion : 8.2.0.4
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 11:05:56
AESCRIPT.DLL : 8.1.1.8 319866 Bytes 16.10.2008 12:43:34
AESCN.DLL : 8.1.1.3 123252 Bytes 14.10.2008 11:05:56
AERDL.DLL : 8.1.1.2 438644 Bytes 12.09.2008 07:06:02
AEPACK.DLL : 8.1.2.4 369014 Bytes 14.10.2008 11:05:56
AEOFFICE.DLL : 8.1.0.28 196987 Bytes 14.10.2008 11:05:56
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 10:07:50
AEHELP.DLL : 8.1.1.2 115062 Bytes 14.10.2008 11:05:56
AEGEN.DLL : 8.1.0.41 319861 Bytes 14.10.2008 11:05:56
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.2.6 172406 Bytes 14.10.2008 11:05:56
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 7.0.0.1 155688 Bytes 30.06.2008 15:29:36
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 26. Oktober 2003 15:08

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'savedump.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '17' Prozesse mit '17' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '46' Dateien ).

Du solltest alle Partitionen löschen, die Gesamte Festplatte formatieren und dann die Partitionen neu erstellen.

auf der partition die noch übrig ist sind nur dokumente und paar bilder, die kann und will ich auch nicht löschen, weil das alles wichtiges zeugs ist.

so langsam verzweifle ich....

ich habe partition c gelöscht, partition g gelöscht

beide neu partitioniert und formatiert und windows installiert

anschließend antivir runtergeladen und versucht zu installieren... bluescreen

neustart gemacht nochmal installiert und gescannt.

und dieser virus ist immer noch da... frag mich, wo der her kommt. habe doch wirklich außer windows zu installieren nix weiter gemacht nichtmal irgendwelche treiber usw runtergeladen.

nur die original windows-cd installiert

habe beide sachen in quarantäne verschoben neu gestartet und lasse antivir grad nochmal laufen... schon wieder hat er was gefunden.

hier mal der antivir-log und ein hijackthis-log

wo kommt der denn immer wieder her und was kann ich noch machen um den endgültig loszuwerden?

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 26. Oktober 2003 18:44

Es wird nach 1369550 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ARBEIT-SI66YYF9

Versionsinformationen:
BUILD.DAT : 8.2.0.334 16933 Bytes 16.10.2008 14:53:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 09:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 11:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 14:54:15
ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30.06.2008 06:20:53
ANTIVIR3.VDF : 7.0.5.23 17408 Bytes 30.06.2008 10:24:47
Engineversion : 8.2.0.4
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 11:05:56
AESCRIPT.DLL : 8.1.1.8 319866 Bytes 16.10.2008 12:43:34
AESCN.DLL : 8.1.1.3 123252 Bytes 14.10.2008 11:05:56
AERDL.DLL : 8.1.1.2 438644 Bytes 12.09.2008 07:06:02
AEPACK.DLL : 8.1.2.4 369014 Bytes 14.10.2008 11:05:56
AEOFFICE.DLL : 8.1.0.28 196987 Bytes 14.10.2008 11:05:56
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 10:07:50
AEHELP.DLL : 8.1.1.2 115062 Bytes 14.10.2008 11:05:56
AEGEN.DLL : 8.1.0.41 319861 Bytes 14.10.2008 11:05:56
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.2.6 172406 Bytes 14.10.2008 11:05:56
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 7.0.0.1 155688 Bytes 30.06.2008 15:29:36
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 26. Oktober 2003 18:44

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spkrmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '19' Prozesse mit '19' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '45' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\piozuo.exe
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/Virut.H
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '400b08e4.qua' verschoben!
C:\WINDOWS\system32\yyjjkscl.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <ARBEIT>
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\' <SICHERUNG>
F:\bav2.rar
[0] Archivtyp: RAR
--> PassWords.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.U
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '401209b5.qua' verschoben!


Ende des Suchlaufs: Sonntag, 26. Oktober 2003 18:56
Benötigte Zeit: 12:12 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

2244 Verzeichnisse wurden überprüft
403689 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
403685 Dateien ohne Befall
3679 Archive wurden durchsucht
2 Warnungen
2 Hinweise

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:04:05, on 26.10.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-117609710-343818398-682003330-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: spkrmon - Unknown owner - C:\Programme\Analog Devices\SoundMAX\spkrmon.exe

--
End of file - 2806 bytes

grad fertig geworden... hier noch das ergebnis des neuen suchlaufs

Zitat:

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{610B944C-FF6A-4F7D-9E05-AF24A4D4C48D}\RP3\A0001204.exe
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/Virut.H
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3fcc0c8e.qua' verschoben!
Beginne mit der Suche in 'D:\' <ARBEIT>
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\' <SICHERUNG>

Hallo,

du bist mit einem ungepatchtem System ins Netz gegangen?
Du solltest nochmals neuinstallieren, dieses mal aber gründlich!

Wenn du das nicht machst, wirst du Virut nie wieder los.

mfg

Zitat:

Zitat von Silent sharK

Hallo,

du bist mit einem ungepatchtem System ins Netz gegangen?
Du solltest nochmals neuinstallieren, dieses mal aber gründlich!

Wenn du das nicht machst, wirst du Virut nie wieder los.

mfg

was soll ich patchen und wie soll ich gründlich neu installieren? irgendwie steh ich grad vollkommen auf der leitung

Anleitung: Neuaufsetzen des Systems / Absicherung

Danach SP2 offline aufspielen!

Anschließend:
=> Besuche die Windows-Update Seite und lasse über den Button benutzerdefinierte Suche nach fehlenden Updates suchen und installiere die wichtigen Updates.

Wichtig:
Keine, absolut keine .exe/.scr-Dateien, die du von früher hast ausführen bzw. auf das saubere System kopieren!

Hmm ja, wirklich alles platt machen, alle Partitionen, alle Dateien.

Zitat:

Beginne mit der Suche in 'F:\' <SICHERUNG>
F:\bav2.rar
[0] Archivtyp: RAR
--> PassWords.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.U

Virut ist eine der besonders schlimmen Katastrophen, infiziert alle EXE-Dateien, dabei überschreibt er Daten in der Datei so dass die Originaldatei nicht wiederherstellbar ist. Bei dir steckt er aber bereits in einem RAR-Archiv, reicht also nicht EXE und SCR loszuwerden. Wer weiß, wo der sich noch reingesetzt hat.