Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virus nistet sich überall ein Hilfe X-x (https://www.trojaner-board.de/44357-virus-nistet-ueberall-hilfe-x-x.html)

thebarracuda 07.10.2007 14:24
Virus nistet sich überall ein Hilfe X-x
 
Folgendes Problem >< hab von meiner Freundin durch msn ne rar datei gekriegt (ich denke ma es lag an dieser datei) seit dem spinnt mein antivirenprog "KasperSky" und findet x milliarden viren. Ich denke mal der nistet sich andauernd neu in alle möglichen verzeichnisse.

Ich möchte nun mein System neu aufsetzen, will aber nur die c:\ partition formatieren und xp installierenw eil mir an den restlichen dateien viel liegt. Deshalb muss ich erst einmal den virus wegkriegen denn der is ja nu auch in den anderen partitionen. Hier mein logfile (hoffe hab alles richtig gemacht ><)

Achja der virus heißt laut Kaspersky "Virus.Win32.Virut.ab"

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:17:58, on 07.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\avp.exe
D:\Programme\avp.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\MSN Messenger\usnsvc.exe
D:\***\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\CPdeSrvU.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\***\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ur**l=h**p://start.icq.com/]ICQ.com Suche[/**url]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [kav] "D:\Programme\avp.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] D:\***\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MP10_EnsureFileVer] C:\WINDOWS\inf\unregmp2.exe /EnsureFileVersions
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\xlybhggu.dll",sitypnow
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\****\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\scieplugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\****\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\****\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - [url**]h**p:/ /***.creative.com/su/ocx/15030/CTSUEng.cab[/**url]
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - [url**]h**p:/ /***.creative.com/su/ocx/15030/CTPID.cab[/**url]
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Programme\avp.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

myrtille 07.10.2007 14:37
Hi,
bei virut ist nichts mehr zu retten. virut infiziert sämtliche *.exe und *.scr Dateien auf deinem System. (Unter anderem hab ich shcon Fälle gesehen, wo die Updatefunktion von Kapersky infiziert worden war)

Solange du nicht alles platt machst, formatierst und neuaufsetzt sind dich Chancen groß, dass eine ausführbare Datei übersehen wurde und der Rechner neuinfiziert wird.

Rette die nichtausführbaren Dateien (Photos, Musik, Dokumente, etc) und mach den Rest dem Erdboden gleich.

lg myrtille

thebarracuda 07.10.2007 14:46
Kann ich denn .rar dateien auch sichern? also dadrin befindet sichn setup mit exe und allem aber das rar is noch unberührt.

myrtille 07.10.2007 15:24
Ich würd das Risiko nicht eingehen wollen. Zumindest dann nicht,wenn die Tools auch leicht aus vertrauenswürdigen Quellen besorgt werden können. (zb neuladen von Herstellerseite etc)
Allerdings dürften die Datein tatsächlich nicht infiziert worden sein wenn sie in einem rar-Archiv sind, bevor du die Dateien aufm neuen Rechner ausführst und nach dem entpacken, solltest du sie allerdings auf jedenfall noch von einem onlinescanner überprüfen zu lassen.
Auch wenn das immer noch keine Garantie ist, dass die Datei dann nicht infiziert ist reduziert sie die Chancen auf jedenfall.

lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131