Hilfe seid heute Morgen als ich die cmd.exe starten wollte hat Avira plötzlich einen Virus gemeldet!

C:\Windows\System32\cmd.exe
Enthält Code des Windows-Virus W32/Virut.Gen

ich habe bereits gegoogelt und rausgefunden das der Virus sich schnell verbreitet und noch andere Programme inviziert
hier ist eine logdatei die ich gerade eben erstellt hab.

Danke im Vorraus für eure Hilfe!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:42:05, on 14.10.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\PixArt\Pac207\Monitor.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=Pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de/?&affid=1&uid=D3C8215C-3E6B-4CF8-BF56-03C1893B1313
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=Pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=Pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O1 - Hosts: ::1 localhost
O1 - Hosts: 91.112.250.206 ps2nfs04.ea.com # nfsu-4ever (www.gongoscho.at)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [HPADVISOR] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autoRun
O4 - HKCU\..\Run: [{F78BCB80-27A9-5973-8C11-0FEB6D1EAD1B}] C:\Users\Coldpep\AppData\Roaming\Bifrost\server.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSP~1\PERSON~1\PID.EXE
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O9 - Extra button: SecretCity 3DChat - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - E:\Games\SECRET~1\\SECRET~1.EXE
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Programme\Musik Maker 15\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\Windows\system32\LckFldService.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 6260 bytes




Und noch eine kleine Frage nebenbei!
Windows Live gehört das zu MSN(Windows Live Messenger) oder zu Windws Vista? xD

Hallo und

Mach mal bitte einen Scan mit MalwareBytes, der Virut ist ein Fileinfector!!

Informationen zu Virut:

Zitat:

Zitat von KarlKarl

Hi,

Virut ist ein Virus, der in großem Tempo alle EXE-Dateien infiziert, deshalb ist die Menge der Funde nicht ungewöhnlich. Außerdem ist er ein Netzwerkwurm, der Windowssysteme ohne Updates übers Netz infiziert, zusätzlich öffnet er ene Backdoor. Da dein Windows überhaupt keine Servicepacks hat, ist das ein möglicher Grund für die Infektion. Ein weiterer möglicher Grund ist es, dass Du irgendeine infizierte Datei auf deinem neuen System gestartet hast.

Abhilfe: Computer gründlich formatieren und neu installieren, vor dem ersten Kontakt mit dem Internet muss das Servicepack 2 installiert werden. In diesem Fall auch alle EXE- und SCR-Dateien auf anderen Datenträgern löschen, da sie ein Grund sein könnten, dass die Infektion in das neue System geschleppt wird. Solche Dateien können auch infiziert sein, wenn sie in ein Archiv (wie ZIP, RAR, usw) gepackt sind. Zur Installation nur Orignaldatenträger, die nicht schreibbar sind, benutzen. Installer für Antivir, Firefox, usw. neu herunterladen.

Gruß, Karl

okay danke
er scannt gerade!
heisst das das ich meine platte 100% formatieren muss? oder nur vielleicht?
ich denke nicht das ich den schon lange habe weil cmd.exe gestenr noch einwandfrei funktioniert hat aber seid ich gerade windiws vista update gemacht habe ist es da

Hey der Scan ist fertig! er hat ein paar sachen gefunden aber nicht das richtige den nicht mal die cmd.exe ist mit dabei

gibt es noch irgendwelche möglichkeiten )=??? gibt mir jemand einen tipp oder so bitte... ich kan mit diesem kak virus nich arbeiten!!!

Wenn Du Glück hast, war das nur ein Fehlalarm.
Poste bitte die Logdateien von Malwarebytes und AntiVir.

Dürfte dann aber auch egal sein:

Zitat:

O4 - HKCU\..\Run: [{F78BCB80-27A9-5973-8C11-0FEB6D1EAD1B}] C:\Users\Coldpep\AppData\Roaming\Bifrost\server.exe

Die von Malewarebytes:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2955
Windows 6.0.6002 Service Pack 2

14.10.2009 10:58:39
mbam-log-2009-10-14 (10-58-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 303007
Laufzeit: 1 hour(s), 30 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\aplib.dll (Trojan.LDPinch) -> Quarantined and deleted successfully.
E:\tools\multi-connector1.1\eip\nc.exe (PUP.KeyLogger) -> Not selected for removal.
E:\tools\multi-connector1.1\fb\nc.exe (PUP.KeyLogger) -> Not selected for removal.
E:\Games\GTA San Andreas\trainer.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Programme\connect\eip\nc.exe (PUP.KeyLogger) -> Not selected for removal.
E:\Programme\connect\fb\nc.exe (PUP.KeyLogger) -> Not selected for removal.
C:\Users\Coldpep\AppData\Roaming\addon.dat (Malware.Trace) -> Quarantined and deleted successfully.



Die von Avira finde ich nicht. Aber Avira hat nur die cmd.exe gemeldet wo ich sie öffnen wollte falls es euch hilft!

Ich bin mir zu 80% sicher, dass die Datei "C:\Windows\System32\aplib.dll" etwas damit zu tun hat.

Übrigens wen ich Avira ausschalte und die Eingabeaufforderung starte steht da : "Windows-Befehlsprozessor funktioniert nicht mehr" in einem Fenster was immer kommt wen ein Programm abstürzt.

Heyy danke für eure Hilfe bisher -.- Ich hoffe es kommt jetzt etwas vernünftiges. Ich will jetzt nicht unfreundlich werden aber es ist noch viel schlimmer geworden!
Also es siht so aus: Ich habe gerade mein PC ganz normal angemacht und beim Anmelden schon ein paar Probleme gehabt! Was nix neues ist weil das schon lange so war! aber plötzlich fehlt die gesammte cmd.exe!!! Sie ist nicht im System32 Ordner zu finden. Dafür habe ich anderes rausgefunden die command.exe ist da obwohl sie früher sonst nie da war hat jemand vielleicht dazu einen tipp ich will diese platte nicht formatieren hier sind sehr sehr sehr wichtige sachen drauf! also helft mir bitte

ich hätte doch von anfang an rr board nehmen sollen -.- hier versucht man ja nicht mal zu helfen...

Oje, den Eintrag den KarlKarl nannte hab ich wohl übersehen, Asche auf mein Haupt
Möglicher Virut-Befall und Reste vom Bifrost klingen garnicht gut, Du solltest besser das System neuaufsetzen, eine Bereinigung macht keinen wirklichen Sinn da. http://www.trojaner-board.de/51262-a...sicherung.html

hmm na toll dan bleibt mir noch eine frage
und zwar:
ich habe windows vista home premium also vorinstalliert bekommen! ich kan es jederzeit zu dem zustand bringen an dem der pc geliefert wurde aber meine frage ist wen ich eien neue partation erstelle und da die wichtigen sachen draufpacke und dan die "formatirung" mache wird dan die neue partation auch formatiert oder bleibt sie da weil windows in dem fall ja eigentlioch nur C:\ und D:\ braucht?

ACHJA UND DANKE FÜR DIE ANTWORT AUF DIE ICH GEWARTET HAB

Jede Recovery-DVD ist da etwas anders. Ich kenn das so, dass beim Recovern, die ganze Festplatte im Ursprungszustand versetzt wird, es bringt also nichts nur auf einer anderen Partition was zu "sichern" - das wäre eh kein richtiges backup, ein backup der Daten bedeutet sichern auf ein physikalisch anderes Gerät.

DANKE ich hab die perfekte lösung ich lad das alles hoch :P sag ich aba ned wo dan speicher ich mir den link auf ner speicherkarte oda so und alles is perfekt =D dankeschöön das schwirigste wird wohl sein die updates alle wieder runterzusaugen und zu installieren =D das dauert nämlich immer stunden ^^ bye

Was willst Du wo hochladen? Ich glaub das ist keine Idee, gigabyteweise eigene Dateien auf irgendeinen Server hochzuladen.
Wo ist das Problem eine externe Festplatte zu benutzen?

Zitat:

Zitat von cosinus

Was willst Du wo hochladen? Ich glaub das ist keine Idee, gigabyteweise eigene Dateien auf irgendeinen Server hochzuladen.
Wo ist das Problem eine externe Festplatte zu benutzen?

das problem liegt da das ich keine besitze und auhc nich deswgene eine kaufen werde und du hast recht ich bin grade dabei die dateien zu brennen