Hallo liebe Helfer,
ich habe (leider) ein riesengroßes Problem mit dem Virus Win32: Vitro.

Ich habe mich also mal über diesen schlau gemach und einige informationen gefunden. Dieser soll alle exe-Dateien befallen und nur schwer zu löschen sein.
Hier ist eine der Seiten wo man noch mehrere infos über Win32: Vitro bekommt
Infos zu Malware Win32:Vitro

Das Problem:

Das Problem bei mir ist, dass jedesmal wenn ich eine befallende datei mit meiem Anti-Virus Programm (Avast -> bin ich eigentlich sehr zufrieden mit) lösche, mir sofort eine neue befallende datein angezeigt wird.. Jede datei die befallen ist kann ich danach nicht mehr nutzen und leider weitet sich das Problem auf den sytem 32 ordner aus
Also habe ich mal schnell das wichtigste auf meiner Exteren Festplatte gespeichert, diese auf einmal durchgescannt (Ergebnis: kein Virus gefunden) und mal locker pflockig einmal komplett formatiert und windows neu aufgesetzt. Danach alle Treiber neu installiert und avast draufgepackt. So danchdem ich damit 1 Stunde verbraht hatte wollte ich ins internet um servicepacks und sicherheitsupdates zu holen. Doch was passiert: Avast zeigt mit die Warnung an das eine Verbindung zu einer bösartiges Website (mit einen unendlich langen URL^^) geblockt wurde obwohl ich zu dem Zeitpunkt keine Website besucht hatte. Kurz darauf kam ne Viruswarnung mit Win32: Vitro!
Da war ich das erste mal sprachlos, da es anscheinend diesem BIEST irgendwie geluggen sein muss die Formatierung zu überstehen oder ähnliches. Also nocheinmal alles neu aufgesetzt. Dieses mal aber berfor die internetverbindung bestandt alle Servicepacks drauf gepackt und Sicherheitsupdates installiert. Dann hab ich ne Internetverbindung hergestellt und es passierte lange eit nichts Ich war schön überglücklich bis gestern!!!
Da tauchte wieder die mysteriöse Websitewarnung von avast auf die geblockt wurde und kurz darauf kam wieder die Win32:Vitro Melung..
Jetzt ist es schon wieder soweit, dss z.B die cmd.exe die explorer.exe und nach eineige anderen Datein befallen sind. Alo kann ich auch nur noch im aabgesicherten Modus starten und hab da jetzt mal gemäß der Anleitung Was muß ich vor meinem ersten Thema beachten?"

1. den CCleander drüber laufen lassen
2. mit Malwarebytes-Anti-Malware einen Scan durchgeführt
3. Hijack durchscannen lassen
4. und auch mit Hijack eine uninstall_list.txt erstellt

Die Ergebnisse werde ich gleich heir posten.

Ach ja also ich hab Windows XP Professional und bin mit den Sicherheitsupdates auf den neusten Standt



Hier ist der Malwarebytes-Anti-Malware scan:

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1923
Windows 5.1.2600 Service Pack 3

31.03.2009 11:06:07
mbam-log-2009-03-31 (11-05-50).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|I:\|)
Durchsuchte Objekte: 132620
Laufzeit: 15 minute(s), 20 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Temp\VRTB8.tmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.



Hier ist das Ergebniss aud dem Hijack Scan:

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:51:23, on 31.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\4.tmp
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
E:\Donwloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6205 bytes


und hier ist die unistall_list. txt Datein

Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Alcatech BPM Studio Professional v4.9.1
Apple Mobile Device Support
Apple Software Update
avast! Antivirus
Call of Duty(R) - World at War(TM)
Call of Duty(R) - World at War(TM) 1.1 Patch
Call of Duty(R) - World at War(TM) 1.2 Patch
Call of Duty(R) - World at War(TM) 1.3 Patch
CCleaner (remove only)
Fallout 3
Free YouTube Download 2.1
Hamachi 1.0.3.0
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
ICQ Toolbar
ICQ6.5
iTunes
Java 2 Runtime Environment Standard Edition 1.3.1_15
JMB36X Raid Configurer
Logitech G-series Keyboard Software
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft Games for Windows - LIVE Redistributable
Microsoft Office XP Professional
Mozilla Firefox (3.0.1)
MSXML 6.0 Parser (KB925673)
NETGEAR WPN311 Wireless Adapter
NVIDIA Drivers
NVIDIA ForceWare Network Access Manager
NVIDIA PhysX
PunkBuster Services
QuickTime
Realtek High Definition Audio Driver
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Skype™ 3.6
Smart-X7 7.80
SUPER © Version 2008.bld.33 (Sep 2, 2008)
TeamSpeak 2 RC2
TeamSpeak 2 Server RC2
TinyTimer
Uninstall 1.0.0.0
Update für Windows Internet Explorer 8 (KB968220)
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VideoLAN VLC media player 0.8.6f
Windows Communication Foundation
Windows Internet Explorer 8
Windows Presentation Foundation
Windows Workflow Foundation
Windows XP Service Pack 3
WinRAR
Xfire (remove only)
Yahoo! Toolbar

--------------------------------------------------------------------------

Soooo jetzt zähl ich auf euch, da ich am verzweifeln bin und keine ahnung hab was mir noch helfen könnte wenn selbst das formatieren versagt

Vielleicht können wir ihn ja gemeinsam "besiegen"

PS: das ist mein erstes erstelltes Thema. Sry wenn ich noch etwas vergessen habe aber Übung macht ja den Meister (Auch wenn ich hoffe, das ich mich mit so einem Problem nicht mehr an euch wenden muss

In deinem Fall hilft leider nur noch:

http://www.trojaner-board.de/51262-a...sicherung.html

und alle Passworte wechseln!

warum Neuaufsetzen so ein quatsch sein HijackThis logfile ist glaube ich sauber

Hallo RushHour777,

Lies dir das Posting von Cool Modi durch und werte die (ausfuehrlichen) Informationen incl. der Links aus. Dann wirst du sehen, warum Neuaufsetzen hier das sinnvollste ist und warum es, wegen "Win32:Vitro", nichts auffaelliges in dem "Hijackthis" Log zu sehen gibt, bzw geben kann.

Auch Google kann dir hier weiter helfen......

@Rushour777

Ich habe dir in einem frühreren Beitrag schon den Hinweis gegeben entsprechend gründlich zu recherchieren. Ich rate dir weiterhin dem Kompetenzteam über die Schulter zu schauen um so etwas zu lernen.
Äußerungen wie:

Code: Alles auswählenAufklappen

ATTFilter

......glaube ich
         

sind hier nicht angebracht....

Du versuchst eine Handlungssicherheit zu vermitteln die du, zur Zeit, nicht hast. Dies widerspricht den Boardregeln und schadet u.U. der Reputation des Boards.

Lies hierzu bitte auch diese Hinweise

Danke erstmal für die schnelle Hilfe:aplaus:

Das Problem ist nur ich habe ja schon 2 mal komplett alles neu gemacht und diese Ding tauch immer wieder auf. Ich hatte aber auch bei jedem mal wieder die wichtigsten Daten von der externen Festplatte rübergezogen. Ich hoffe mal, dass diese nicht infiziert ist. Gibt es eine euch bekannte Möglichkeit das zu überprüfen um sicher zu sein, das der Fehler nicht von dort aus kommt. Denn sonst würde das Neuaufsetzen ja nicht viel bingen wenn der Virus sich dann anch dem benutzen von einigen Daten wieder auf mein System kopiert!

Aber dann werde ich jetzt erstmal mich heute abend hinsetzten und nochmal alles nach der Anleitung neu aufsetzten.

MfG Cool Modi

Hi,

das hört sich seltsam an...
Hast Du Programme aus "unsauberen" Quellen die Du installierst und bei deren ersten Aufruf dann das Unglück ins "rollen" kommt?
Das gleiche gilt für externe Datenträger die verseucht sein können...
Sind Remote Dienste (z. B. Remodeconsole etc.) am laufen? Ja -> abschalten (http://www.windows-tweaks.info/html/dienste.html)
Surfst Du über IE, dann nutze bitte Firefox mit dem Plguin "noscript" und "wot".

Installiere mal probehalber einen freien Behaviour-Scanner (Threadfire: http://www.chip.de/downloads/ThreatFire_31869493.html, ggf. in den "agressiven" Mode schalten).

Hast Du Webshild und Networkshild am Laufen?

Beim Formatieren auch den MBR platt gemacht?
Sonst:
MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte (läuft nicht auf 64-Bit Plattformen!):
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

chris & out

Also installierte Programme aus unsauberen Quellen gibt es eigentlich nicht. Hattes ja selbst nach dem formatieren vom letzten mal nur ein paar programme wie skype, icq installiert und das aus sauberen quellen.
Remote Dienste waren zum Großteil abgeschaltet und jetzt ist alles abgeschaltet. Weiterhin hatte/ habe ich Firefox benutzt allerdings ohne diese Plugins. Werden aber noch dazu kommen wenn ich wieder alles zum laufen bringe. Webshield und Networkshield sind am laufen. Jetzt habe ich mal das Programm Threat Fire ausprobier, jedoch passiert beim ausführen der exe datei nichts. Im Taskmanager wir mir zwar der Prozess angezeigt aber sonst merk ich davon auch nichts. also hab ich nochma mit avast drüber gescant und der hat nichts gefunden. Das komische ist, dass ich heute morgen den gleichen scan schonmal ausgeführt hatte und er da noch dauernt was angezeigt hat. Jetzt wo ich nur noch im abgesicherten Modus arbeiten kann zeigt er nichts??
Naja dann habe ich noch den MBR-Rootkitscanne ausgeführt.

Zitat:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Jetzt hab ich noch die Frage wie ich den MBR platt mache?

muss ich einfach dieser anleitung von hier folge leisten?:

Zitat:

starten Sie den Computer mit eingelegter Windows XP-CD. Nach dem Booten bietet Ihnen die CD an, die Reparaturkonsole (auch Wiederherstellungskonsole) zu öffnen. Das geschieht durch einen einfachen Tastendruck auf [R].

Danach geben Sie auf der Konsole bei Bedarf das Administratoren-Kennwort ein.
Anschließend geben Sie ein
fixboot
und danach
fixmbr

MfG Cool Modi

Das mit dem MBR bereinigen brauchst du in deinem Fall nicht unbedingt....

Wichtig bei dir ist halt nur das genaue Einhalten der neu aufsetzen Anleitung. Sofern sich dein Rechner hinter einem Router befindet, sollte es reichen, windows XP von der Orginalcd(!) neu aufzusetzen, zu aktualisieren(online via automatische Updates oder www.windowsupdate.com).
Avast herunterladen, aktualisieren und externe Medien Laufwerke usw anzuschliessen, alles zu scanen und infizierte Dateien zu loeschen.

Du darfst halt bis zu dem Zeitpunkt keine Dateien starten, die sich lokal auf deinem Rechner befanden.

Ok dann werd ich mcih mal gleich ans Neuaufsetzen machen.
Aber MBR reinigen kann ja nicht schaden also lieber ein Schirtt zu viel als zu wenig damit nich nicht nochmal alles neu machen muss
Jetzt habe ich noch von nem Bekannten den Tipp bekommen, dass sich der Virus vielleicht auch im Arbeitsspeicher befindet und deshalb auch mehrmaliges formatieren überlebt hat. Ist das überhaupt möglich, dass Viren sich in denArbeitsspeicer setzten ond wenn ja gibt es Scann-Tool umd diesen zu überprüfen und ggf. zu bereinigen?

So melde mich nach dem Neuaufsetzen nochmal. (Vielleicht auch zur Abwechselung von meiem PC aus )

Jedoch is dann ja noch nichts überstanden, da beim etzten Mal erst nach zwei Tagen der Win32: Vitro wieder augetaucht ist

Ich drehe hier langsam durch

Ich habe alles neuaufgesetzt und alle Festplatten formatiert. Bin gerade soweit, dass ich alle wichtigen Treiber installiert haben und außerdem servicepack 2 + 3 sowie avast und Malwarebytes-Anti-Malware von nem usb-stick rüergezogen habe. Hatte also bisher noch nicht mal Zugang zum internet. Jetzt habe ich erstmal Malwarebytes-Anti-Malware einen Scann ausführen lassen. Ergebniss kein Virus
Danach hab ich dann Avast ne Scann machen lassen und siehe da er findet den Win32:Junk Poly(Cryp) Virus.
Dazu muss ich sagen, dass dieser voher auch schon in Verbindung mit unserem bekannten Vitro Virus aufgetaucht ist. Es war z.B. so , dass ich 10 mal die Meldung bkommen habe, dass ich den Win32: Vitro Virus habe und dann kam 1 mal die Meldung mit dem Junk Poly. So war in etwa das Verhältniss. Wo ich gerade dabei bin kann ich ja auch noch sagen dass acu selten mal der Win32: Trojan-gen [other] angezeigt wurde. Demnach bring ich diesen auch in Verbindung mit unserem Vitro und befürchte, dass dieser auch nicht weit weg ist

Hier ist derstmal das Ergebnis des Avast-Scan:

Zitat:

31.03.2009 23:48:51 Cool Modi 1024 Function setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.
01.04.2009 00:26:51 Cool Modi 1484 Sign of "Win32:JunkPoly [Cryp]" has been found in "C:\System Volume Information\_restore{6ABEE93F-7992-4829-AC4A-0442A4A4F0DB}\RP2\A0003379.exe" file.
01.04.2009 00:35:38 Cool Modi 1484 Sign of "Win32:JunkPoly [Cryp]" has been found in "E:\System Volume Information\_restore{6ABEE93F-7992-4829-AC4A-0442A4A4F0DB}\RP2\A0003191.exe" file.
01.04.2009 00:40:49 Cool Modi 3932 Sign of "Win32:JunkPoly [Cryp]" has been found in "E:\System Volume Information\_restore{6ABEE93F-7992-4829-AC4A-0442A4A4F0DB}\RP2\A0003191.exe" file.

Und natürlich sind wieder die exe-Datein befallen
Wie dem aufmerksamen Betrachter bestimmt aufgefallen ist befindet der ich auch auf verschiedenen Partitionen. Einmal auf C:\ (Dort liegt auch Windows)
und zwei mal auf E:\. das komische ist, dass ich diese Partition vorm Neuaufesetzen formatiert hatten, daraufhin beim Installieren die Partitionen gelöscht hatte und neue erstellt wurden. Ich kann jetzt acuh noch gar nicht auf diese Zugreifen, da sie standartmäßig erst nocheinmal formatiert werden müssen. Trotzdem befindet sich dort schon wieder ein Virus drauf!?! Was ist hier bei mir los? Langsam werde ich echt verrückt. So ein schlimmes Teil hatte ich noch nie. Egal was ich tue es kommt einfach immer wieder.

Jetzt geh ich erstmal den Rest der nacht drüber schlafen und hoffe morgen auf hilfreiche Beiträge um endlich wieder den normalen virusfreien Betrieb aufnehmen zu können.
Jute Nacht!

Moin,

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas

Ok, dann werde ich das sofort mal machen.
Wenn sonst nichts anderes gefunden wurde is der PC dann jetzt clean? Oder kann sich immer noch irgendwo einer unserer Win32 Reihe Viren aufhalten und von dem Scan unentdeckt bleiben? Denn das Malwarebytes-Anti-Malware Tool hatte diese Jun Polys ja auch nicht entdeckt!
Noch eine Frage: In verschiedenen Foren (z.B. hier)wurde ja gesagt, dass dieser nur exe-dateien befällt.Sind also Filme/ Musik/ Word bzw PowerPoint-Dateien demnach unbedenklich? Oder kann es irgendwie sein, dass wenn ich mir nur diese von der Externen Festplatte rüberziehe auch gleich wieder das altbekannte Problem bekomme?

Erstmal vielen Dank ich werd jetzt wieder an die Bekämpfung gehen

Zitat:

Wenn sonst nichts anderes gefunden wurde is der PC dann jetzt clean?

Nach einer Neuinstallation ist ein Rechner immer clean, es sei denn, du hast ihn durch Installation von Schädlingen oder durch Infizierung durch externe Datenträger gleich wieder infiziert. Funde in der Systemwiederherstellung sind harmlos, es sei denn, du benutzt die Systemwiederherstellung.

Zitat:

Oder kann sich immer noch irgendwo einer unserer Win32 Reihe Viren aufhalten und von dem Scan unentdeckt bleiben?

Möglich, aber unwahrscheinlich.

Zitat:

Denn das Malwarebytes-Anti-Malware Tool hatte diese Jun Polys ja auch nicht entdeckt!

Traue nie einem Virenscanner. Das sind nur Werkzeuge, keine Allheilmittel. Lies mal hier: http://www.trojaner-board.de/412719-post32.html

Zitat:

Sind also Filme/ Musik/ Word bzw PowerPoint-Dateien demnach unbedenklich?

Jein, sie gelten als relativ sicher. PowerPoint können Makroviren enthalten. Bei Musik gibt es den Get.A.Codec-Virus. Wenn du alle Dateien mit mehreren aktuellen Scannern testest, dann ist das Risiko gering.

ciao, andreas

Danke!!!!

Dann werde ich jetzt erstmal alles wieder ganz vorischtig aufbauen und erstmal noch ne weile meine externe Festplatte nicht anschließen fallls das Teil wieder auftaucht, was ja schon öfter nach Neuaufsetzten passiert ist. Dann könnte ich jedenfalls schonmal die QUelle als Verursacher ausschließen. Beim letzten mal hatte es nach dem formatieren etc. ca. 2 Tage gebraucht bis ich wieder warnungen bekam und alles den Bach runter ging. Am besten warte ich jetzt erstmal ne Woche ab und werde dann mal nur Word, Musik etc. Datein nahc einem gründichen scann draufapcken. Die Exe datein auf der Externene Festplatte rühr ich lieber nicht mehr an. Die werden allesamt gelöscht.

Vielen Dank erstmal an alle die mir geholfen haben ich melde mich wenns gut geht in einer Woche nochmal um entwarnung zu geben und wenns schlecht läuft wahrscheinlich morgen Dann wüsste ich aber auch nicht mehr wo der sich noch verstecken kann das ihm das formatieren nicht aus macht

Aber wir wollen es nicht hoffen!

:aplaus:Ciao und vielen DANK:aplaus: