W32/Virut.b
 

Hi!

Ich hab mir bei ner Lanparty nen Patch von wem gezogen und bekomme seitdem ständig Virenmeldungen von AntiVir.
die Viren "W32/Virut.b" "TR/Dldr.DollarRev.D" und "DR/Softomate.R.2" befindet sich in allen möglichen .exe Dateien.

hier das HJT log:
Logfile of HijackThis v1.99.1
Scan saved at 01:55:42, on 10.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Opera\Opera.exe
C:\deskbar.exe
C:\WINDOWS\explorer.exe
c:\nwnmff_e25.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\ddu\Desktop\progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [defender] c:\\dfndrff_e25.exe
O4 - HKLM\..\Run: [newname] c:\\nwnmff_e25.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7715BF7-7359-440E-ABD8-338A1C3F10C2}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\sgsvcs.dll
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\NANFINST.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

kann mir jemand helfen?

Ps: ja ich habe aus meinem Fahler gelernt :D

Hallo,

bei welchen Dateien werden denn die o.g. Meldungen gemacht, bei allen .exe Dateien, egal welche???
Wenn dies der Fall ist, wirst du um eine Neuinstallation nicht drumherum kommen!

Lass aber vorerst folgende Dateien bei Virustotal auswerten, und poste anschliessend das Ergebnis, achte darauf das auch die Grßenangabe der Datei mitgepostet wird:

Gruß ;)
Sunny

Danke für deine Mühen schonmal :)

Die beiden Dateien hab ich geprüft und sie sind NICHT infiziert.

Ich hab mal einen kompletten Scan mit antivir gemacht und über 1600 treffer bekommen. ich glaube, mehr als die hälfte aller .exe Dateien sind infiziert :(
Muss ich meine festplatte jetzt am besten formatieren, oder gibts noch ne andere Lösung?

Bei mir öffnen sich im Moment außerdem oft (ca. alle 1-2 min) IE fenster mit Werbung usw.
Dabei benutze ich den IE eigentlich nicht, sondern Opera

Ich hab auch bemerkt, dass sich auf c:/ nach jedem Neustart ca. 10 Dateien befinden, von denen ich nich tweiß, woher sie kommen. bis auf 2 (C:\dfndrff_e26 und C:\nwnmff_e26) kann ich sie ohne Probleme löschen.
Bei den beiden bekomm ich die Nachricht: Zugriff verweigert, wird von einem Programm verwendet
Ich hab sie schon im abgesicherten Modus gelöscht, aber nach dem Neustart waren alle wieder da.

Ich hoffe es gibt nen Weg, die Viren loszuwerden, ohne zu formatieren...

Das kann ich dir nicht sagen, da du nicht das tust was ich dir geschrieben habe: :teufel2:

Nenn mal beide Dateien um, z.b. virus1.exe und virus2.exe, lade dann beide Dateien nacheinander hoch und lass sie auswerten. Bitte diesmal das ganze Ergebnis posten.. (markieren, kopieren, und hier einfügen!) ;)

SRY, habs überlesen:balla:

Ich hab die Dateien zum umbenennen nicht gefunden...
also hab ich den Pfad nochmal bei Virustotal eingegeben:

STATUS: FINISHEDComplete scanning result of "sgsvcs.dll", received in VirusTotal at 10.10.2006, 22:16:50 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.25 10.10.2006 no virus found
Authentium 4.93.8 10.10.2006 no virus found
Avast 4.7.892.0 10.10.2006 no virus found
AVG 386 10.10.2006 no virus found
BitDefender 7.2 10.10.2006 no virus found
CAT-QuickHeal 8.00 10.10.2006 no virus found
ClamAV devel-20060426 10.10.2006 no virus found
DrWeb 4.33 10.10.2006 no virus found
eTrust-InoculateIT 23.73.18 10.10.2006 no virus found
eTrust-Vet 30.3.3125 10.10.2006 no virus found
Ewido 4.0 10.10.2006 no virus found
Fortinet 2.82.0.0 10.10.2006 no virus found
F-Prot 3.16f 10.10.2006 no virus found
F-Prot4 4.2.1.29 10.10.2006 no virus found
Ikarus 0.2.65.0 10.10.2006 no virus found
Kaspersky 4.0.2.24 10.10.2006 no virus found
McAfee 4870 10.10.2006 no virus found
Microsoft 1.1603 10.10.2006 no virus found
NOD32v2 1.1796 10.10.2006 no virus found
Norman 5.80.02 10.10.2006 no virus found
Panda 9.0.0.4 10.10.2006 no virus found
Sophos 4.10.0 10.05.2006 no virus found
TheHacker 6.0.1.094 10.08.2006 no virus found
UNA 1.83 10.10.2006 no virus found
VBA32 3.11.1 10.10.2006 no virus found
VirusBuster 4.3.7:9 10.10.2006 no virus found


Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709


Bei 0 bytes kein Wunder, dass kein Virus da is, das gleiche Erbgebnis hab ich bei der anderen Datei. Beide existieren anscheinend nicht...
Gute oder schlechte Nachricht? :rolleyes:

Schlechte Nachricht. :teufel3:

Das die Datei 0KB groß ist bedeutet das der Schädling/Virus/Trojaner sich selbst schützt. Um zu "verbergen" was sich dahinter versteckt.

Mach mal die Systemdateien sichtbar -> so wirds gemacht

Danach suche nochmals nach dem Pfad. Wenn du die Dateien jetzt findest, umbenennen und asuwerten lassen.

Gruß
Daniel

Ich befürchte, die Schädlinge werden sich zu schützen wissen und den Zugriff auf sich verhindern. Damit sollte auch das umbenennen und kopieren verhindert werden können.

@ponti-ddu:
Probier's mal so: Besorg dir Killbox und lösche die beiden Dateien

C:\WINDOWS\system32\sgsvcs.dll
C:\WINDOWS\system32\NANFINST.DLL

mit der Option Delete on Reboot, den Rechner erst rebooten lassen, wenn Du beide Dateien für das Löschen markiert hast. Dann kannste Windows neu starten und die Dateien werden gelöscht. Killbox legt aber eine Sicherheitskopie der gelöschten Dateien im Ordner c:\!killbox\ ab. Werde dann die beiden Dateien von dort bei Jotti aus und poste das Ergebnis.

nach dem Sichtbarmachen von Systemdateien konnte ich die Dateien immernoch nicht finden.
Ich hab versucht killbox herunterzuladen, aber es hat nicht geklappt. Ich kann auch nichts anderes mehr mit Opera herunterladen, nur öffnen. Der IE funktioniert überhauptnicht mehr. dann hab ich Firefox aus dem Inet installiert (eben mit der öffnen funktion und nicht mit normalen Downloaden der Setup Datei). Das installieren hat funktioniert, aber wenn ichs firefox starten will, passiert garnichts.

Killbox hab ich jetzt auch nur aus dem Inet geöffnet und die Pfade eingegeben, reicht das?
Ich wollte dann auch nach dem Eingeben vom 2. Pfad den Comp von Killbox neu starten lassen, aber bekomme diese Fehlermeldung:
"PendingFileRenameOperations Registry Data has been Removed by External Process!"

ich werd jetzt einfach ganz normal neustarten. Soll ich danach wieder ein HJT log posten?


edit: Ich hab beim Runterfahren die Meldung bekommen "Das Programm reagiert nicht, sofort beenden?" für den IE und Firefox.... Nur mal so als Info^^

Nach dem Neustart hab ich mal so ein IE Fenster, dass wiedermal von selbst aufgetaucht ist benutzt, um mir Killbox runterzuladen, das hat funktioniert. Hab dann einfach mal die beiden Dateien nochmal da eingegeben und wieder neu gestartet.


nochmal edit: IE und Firefox gehen seit dem Neustart wieder.

Und dann sollte ich ja noch die dateien im Killbox Ordner umbenennen/prüfen, hätt ich fast vergessen :D

Aber leider existieren diese dateien nicht.
es gibt aber ein log, in dem immer solche einträge stehen:
[Delete on Reboot]
Path = C:\WINDOWS\system32\sgsvcs.dll
*This file does not seem to exist

un nu? :crazy:

Haste schon mal nen Check mir eScan gemacht? Anleitung siehe Signatur.

Ich hab mal nen kompletten Scan gemacht... hat über 4 Std gedauert.
es wurden wieder über 1000 Infizierte Dateien gefunden.
Das log, dass angeblich automatisch gespeichert wird, habe ich nicht im angegebennen Ordner gefunden und auch mit der Suchfunktion nicht gefunden.

Ich kann außerdem mit Antivir keine einzelnen Dateien mehr überprüfen, weil laut Fehlermeldung die CRC-Summe verändert worden ist.
Ich wollte Antivir dann über Systemsteierung\Software entfernen, aber dann bekomme ich die Meldung, die CRC-Summe wurde verändert und dies kann durch einen Virus geschehen sein.
AUch im abgesichterten Modus Kann ich es nicht deinstallieren.

Wenn du das mit dem Escan nicht hinbekommst:
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

SO wird das auch nichts. Du solltest die Anleitung auch schon aufmerksam lesen, denn da steht drin, wie du relevante Einträge mit Hilfe einer von Haui45 erstellten Datei rauspicken lassen kannst. :rolleyes:

sorry, dass ich das wieder übersehen hab :teufel1:
Aber die find.bat Datei kann nicht machen, weil es das log ja nicht gibt.

In der Anleitung steht auch, dass man eine verpackte Datei downloadet, ich konnte aber nur ne .exe Datei downloaden. Deswegen konnte ich sie dann nicht nach Bases_x entpacken, sondern sie hat sich selbst nach C:\DOKUME~1\... installiert.

Installier Dir WinRAR. Mit einem Rechtsklick auf die Executable von eScan kannst Du es entpacken.