Virut.N über 1000 infizierte Dateien
 

Ich habe XP neu installiert weil meine Kiste extrem langsm war, dann habe ich eScan laufen lassen und über 1000 infizierte Files gehabt. Könnt ihr mal mein logfile chekcen. Vielen vielen dank
Danke für die Hilfe


Logfile of HijackThis v1.99.1
Scan saved at 08:53:29, on 09.02.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mssmpp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\runsvc.exe
C:\Programme\HiJack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\Run: [runsvc] runsvc.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\RunServices: [runsvc] runsvc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Uff. Kein Wunder.

Dein PC stammt aus der Steinzeit.

Setze ihn bitte nach der Anleitung in meiner Signatur neu auf und sichere ihn vernünftig ab! Sichere am besten überhaupt keine Dateien oder durchsuche sie mindestens vorher mit MWAV. Ausführbare Dateien solltest du unter keinen Umständen sichern!!

Hallo

Ich habe folgedes gemacht:

PC neu aufgesetzt (war nicht am Netz)
SP2 installiert
Eingeschränkter Benutzer erstellt
eScan laufte lassen
Und wieder findet er den gleichen Virus Virus.Win32.Virut.n

Was soll ich machen?

Hi,

neu installieren. Vorher alle irgendwo (ganz egal wo) gespeicherten EXE-Dateien löschen. Auch externe Medien wie USB-Sticks und Platten, gebrannte CDs/DVDs beachten, die Dateien könnten auch in Archiven wie ZIP oder RAR stecken. Falls Du Software aus dubiosen Quellen wie Emule usw. hast, ebenfalls alles weghauen. Da kann der Virut auch drin stecken. Virut wird man nur durch sehr radikale Maßnahmen wieder los.

Entweder der Computer hatte Netzwerkkontakt bevor alle Windows-Updates fertig installiert waren oder es wurde eine infizierte Datei ausgeführt.

Gruß, Karl

ja soll ich nach exe dateien suchen und diese alle mit shift delete löschen und dann XP neu installieren?

Nein, die EXE-Dateien auf deiner Systemplatte werden beim formatieren entfernt, es geht um Dateien irgendwo anders. Wie schon geschrieben, es gibt zwei Möglichkeiten, wie die Infektion auf das neue System gekommen sein kann:

Durch Netzwerkverbindung ohne Updates.

Durch ausführen einer infizierten Datei. Das kann auch irgendeine Installationsdatei gewesen sein, die Du gehofft hast, in dem neuen System erneut nutzen zu können.

Bei Virut muss wirklich alles ausführbare gelöscht werden. Es ist auch denkbar, dass auf einem USB-Stick oder -Platte eine infizierte Datei bereits gestartet wird, sobald Du die anschließt. Diesen Autostart kann man vemeiden, indem man beim Anschließen die Shift-Taste gedrückt hält. Ich würd die dann ebenfalls formatieren.

Hallo KarlKarl, hat geklappt :aplaus:Vielen Dank
Ich hatte eine externe HD noch angeschlossen gehabt.
Nun habe ich aber dort extrem wichtige Daten, wie soll ich vorgehen?

Ein Virus hat er noch mit eScan gefunden :dummguck: Null.Corrupted Virus
Hier das Highjackthis file:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:26:18, on 10.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\menkee\LOKALE~1\Temp\mexe.com
C:\DOKUME~1\menkee\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://www.google.ch/
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 2200 bytes

Magst du bitte das eScan log posten..

Das HJT log ist sauber.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.9
Sprache: German
Virus-Datenbank Datum: 2/9/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\DOKUME~1\menkee\LOKALE~1\TEMPOR~1\Content.IE5\G1Q7C52N\mwav[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\menkee\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G1Q7C52N\mwav[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{92F66434-86D3-48C0-A8EC-57D10D5FBE72}\RP74\A0005586.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 59947
Gefundene Viren: 3
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 10
Dauer des Scans bisher: 00:19:46
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:00:03,31
Batchende: 13:00:15,92

Hallo, kann mir niemand mehr helfen?

:) dir muss nicht geholfen werden d.h. habe ich nicht geschrieben.. ;)

Es handelt sich um Fehlalarme von MWAV.

Ich wohne noch nicht hier.

das mit dem "NULL.Corrupted", vergiss gleich mal wieder, Escan schmeisst mit einer Menge Blödsinn und Fehlalarme um sich, ich hätte ihn dir auch nie empfohlen. Pikanterweise scheint er dem Dateinamen nach sich selber zu bemängeln :D Browsercache löschen, dann ist er dort weg.

Ich seh zwar das Sevicepack 2, was aber nicht zu erkennen ist: Was sagt die Updateseite von Microsoft? Wenn es dort noch weitere wichtige Updates gibt, dann rauf mit denen.

Abgesehen von einer möglichen Autostart-Falle (s.o.) sollte es möglich sein, mit ganz "spitzen Fingern" die wichtigsten Daten von der Platte zu ziehen bevor Du sie formatierst. Aber wirklich alles auslassen, was irgendwie ausführbar sein könnte. Wenn die Platte zu Zeiten der Infektion angeschlossen war, dann ist die jetzt ebenfalls durchseucht.

Noch etwas sicherer wäre es, die Platte nur noch von einem Knoppix-System aus zuzugreifen. Unter Linux würde der Virut nämlich nicht funktionieren. Dort dann die wichtigsten Daten sichern und den Rest platt machen.

die umgekehrte Herangehensweise wäre es, die Platte abzuscannen und nur das löschen zu lassen, was als infiziert erkannt wird. Weniger sicher, z.B. kann Antivir nicht alle Archive lesen.