Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virus zerstört AntiVir (https://www.trojaner-board.de/55909-virus-zerstoert-antivir.html)

Naoki 13.07.2008 22:28
Virus zerstört AntiVir
 
Hallo,

ich habe folgendes Problem. Ich habe seit heute das Problem, dass mein AntiVir (Avira) nicht mehr funktioniert. Ich habe mir etwas aus dem Internet gedownloaded, da schlägt Avira sofort Alarm und ich stelle bei Avira ein, dass Avira diese Datei löschen soll. Danach gab es Ruhe und ich habe nichts mehr herutnergeladen. Dann wollte ich später nocheinmal Avira durchlaufen lassen, als die Fehlermeldung:

die CRC-Summe von C:\Programme\Avira\Antivir PersonalEdition Classic\SETUP.EXE wurde verändert! Dies könnte von einem Virus verursacht worden sein!

Avira lässt sich jetzt nicht mehr starten, deinstalieren oder neuinstalieren. Scheinbar habe ich den Virus jetzt immernoch auf dem PC, aber weiß es nicht genau, da keine weiteren Änderungen (außer bei Avira) stattfanden.

Brauche dringend Hilfe und habe auch HiJackThis durchlaufen lassen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:15:07, on 13.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQ6\ICQ.exe
C:\VIRUSfighter\Bin\Zanda.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\PC\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.20.1.100:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {5CBE2611-C31B-401F-89BC-4CBB25E853D7} - (no file)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\Bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - ?p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128086621921
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1E07273-2C60-4AA5-90FF-667A7C5B1DE5}: NameServer = 193.101.111.10
O23 - Service: Norman ZANDA - Unknown owner - C:\VIRUSfighter\Bin\Zanda.exe

--
End of file - 6527 bytes

KarlKarl 13.07.2008 22:37
Hi,

dann geh mal zu VirusTotal, lade die C:\Programme\Avira\Antivir PersonalEdition Classic\SETUP.EXE für einne Onlinescan hoch und kopiere die Ergebnisse komplett hierher. Wichtig: auch die ergänzenden Angaben wie Dateigröße, MD5, usw. Dann könnte ich nämlich vergleichen.

Gruß, Karl

Naoki 14.07.2008 00:22
Okay habs hochgeladen und dann kam:

Antivirus Version letzte aktualisierung Ergebnis
Microsoft 1.3704 2008.07.14 Virus:Win32/Virut.AF
Symantec 10 2008.07.13 W32.Virut.U

weitere Informationen
File size: 676097 bytes
MD5...: 58122f2e1a38eb8a542a61e0fa779ff7
SHA1..: c30e5d9fcc538811e8391355dc2f6d62dae6faf6
SHA256: 7c8024228f44b0161db0eb2e91c27a35179ce01b22dbe9df8cea02df1fc26600
SHA512: 80a347e7007eb435d7a01a378a8c21799fa37cdfd59fba7ab3c5a98d8796fb7c
60b1194c2caf6b6713c6ba92fbfaa5b7b1d7f5ae611115859ae7bcd5016cca11
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x7e9000
timedatestamp.....: 0xa0a0a0a0L (invalid)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x53b49 0x54000 6.33 c6f1152f3c457eb9656d29750edd9af0
.rdata 0x55000 0x16146 0x17000 4.53 29812369fc9c368a8d7f6bfb5c550da7
.data 0x6c000 0x368e58 0x22000 0.37 2eed6655a5ebb1a5660612d32363d124
.rsrc 0x3d5000 0x1c000 0x17000 5.50 bf6cbcc076962cd5dfa6a9f95417a782

( 16 imports )
> RPCRT4.dll: UuidCreate
> VERSION.dll: VerQueryValueW, GetFileVersionInfoA, GetFileVersionInfoSizeA, GetFileVersionInfoW, GetFileVersionInfoSizeW
> WS2_32.dll: WSCGetProviderPath, -, WSCDeinstallProvider, WSCInstallProvider, -, WSCEnumProtocols
> MSVCR71.dll: calloc, _lseek, _filelength, strtoul, _c_exit, _exit, _XcptFilter, _cexit, _wcmdln, _amsg_exit, __wgetmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, __security_error_handler, __dllonexit, _onexit, __1type_info@@UAE@XZ, _terminate@@YAXXZ, _controlfp, _unlink, _access, _chsize, _chmod, sprintf, rename, _errno, strstr, strchr, fseek, fgets, sscanf, wcsncmp, wcstok, _wgetenv, mbstowcs, _purecall, _resetstkoflw, _wgetcwd, _wchdir, printf, _wcsdup, realloc, clock, fflush, fputc, vswprintf, time, srand, rand, memmove, _CxxThrowException, __0exception@@QAE@ABV0@@Z, __0exception@@QAE@XZ, __1exception@@UAE@XZ, ___U@YAPAXI@Z, _wopen, _close, ___V@YAXPAX@Z, _wchmod, _itow, wcschr, swscanf, _wrename, _wcslwr, _wsplitpath, _wunlink, fgetws, wcsstr, _wcsicmp, _wfopen, fputws, fclose, wcsrchr, _wsopen, malloc, _eof, _read, _wcsupr, _waccess, exit, _wtoi, wcscat, free, wcscmp, wcsncat, __CxxFrameHandler, wcslen, __2@YAPAXI@Z, __3@YAXPAX@Z, _except_handler3, swprintf, _snwprintf, wcscpy, wcsncpy, _wstat, _sopen, _write, _stat
> MFC71U.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> KERNEL32.dll: HeapReAlloc, HeapSize, HeapDestroy, GetVersionExA, ExitProcess, GetModuleHandleA, CreateFileA, LoadLibraryA, GetSystemTimeAsFileTime, GetCurrentThread, GetCurrentProcess, LoadLibraryExW, WideCharToMultiByte, ExpandEnvironmentStringsA, MultiByteToWideChar, HeapFree, GetProcessHeap, HeapAlloc, LocalAlloc, SetErrorMode, WriteFile, DeviceIoControl, EnterCriticalSection, LeaveCriticalSection, GetCurrentProcessId, CreateMutexW, ReleaseMutex, GetLocaleInfoW, SetLastError, GetDriveTypeW, GetStartupInfoW, GetComputerNameW, GlobalAlloc, GlobalFree, GetPrivateProfileIntW, ReadFile, GetSystemDirectoryW, lstrcpynW, SetEvent, TerminateProcess, lstrlenW, lstrcpyW, LocalFree, GetFileTime, GetTickCount, GetSystemTime, SystemTimeToFileTime, QueryPerformanceCounter, FindResourceW, LoadResource, LockResource, GetCurrentThreadId, OpenProcess, CreateProcessW, GetExitCodeProcess, WaitForSingleObject, DeleteFileW, OpenEventW, GetTempPathW, GetDiskFreeSpaceExW, GetFileAttributesW, SetFileAttributesW, ExpandEnvironmentStringsW, GetModuleFileNameW, RemoveDirectoryW, WritePrivateProfileStringW, MoveFileExW, GetWindowsDirectoryW, CreateFileW, GetFileSize, CloseHandle, GetPrivateProfileStringW, GetModuleHandleW, GetShortPathNameW, Sleep, GetCommandLineW, FindFirstFileW, CopyFileW, CreateDirectoryW, FindNextFileW, FindClose, DeleteCriticalSection, InitializeCriticalSection, GetVersionExW, GetLocalTime, GetDateFormatW, GetTimeFormatW, LoadLibraryW, GetLastError, GetProcAddress, FreeLibrary
> USER32.dll: DrawIconEx, DestroyIcon, FillRect, InflateRect, DrawStateW, GetActiveWindow, GetLastActivePopup, LoadCursorW, SetCursor, LoadStringW, ExitWindowsEx, MessageBoxW, CopyRect, SendMessageW, wsprintfW, LoadImageW, LoadIconW, KillTimer, EnableWindow, PeekMessageW, DispatchMessageW, TranslateMessage, MapDialogRect, SetRect, GetForegroundWindow, RegisterWindowMessageW, ScreenToClient, PtInRect, GetDC, ReleaseDC, SetCapture, ReleaseCapture, SetWindowLongW, GetSystemMetrics, GetClassNameW, GetClassLongW, SetClassLongW, IsChild, InvalidateRect, GetClientRect, OffsetRect, MessageBeep, SetForegroundWindow, GetDesktopWindow, GetMessagePos, GetParent, GetWindowRect, SetTimer, PostMessageW
> GDI32.dll: RealizePalette, GetObjectW, CreateFontW, CreateSolidBrush, GetDIBits, CreatePalette, StretchDIBits, CreatePen, RoundRect, GetPixel, SetPixel, GetTextExtentPoint32W, CreateFontIndirectW, GetStockObject, SetDIBitsToDevice
> comdlg32.dll: CommDlgExtendedError, GetOpenFileNameW
> ADVAPI32.dll: InitializeSecurityDescriptor, RegOpenKeyExA, RegEnumValueW, FreeSid, GetNamedSecurityInfoW, GetAclInformation, GetAce, EqualSid, AllocateAndInitializeSid, SetNamedSecurityInfoW, InitializeAcl, AddAce, GetSidLengthRequired, InitializeSid, GetSidSubAuthority, IsValidSid, GetLengthSid, CopySid, GetSecurityInfo, GetSecurityDescriptorDacl, BuildExplicitAccessWithNameW, SetEntriesInAclW, SetSecurityInfo, CreateProcessAsUserW, GetUserNameW, GetTokenInformation, LookupAccountSidW, CreateServiceW, RegOpenKeyW, QueryServiceStatus, RegCreateKeyW, OpenSCManagerW, OpenServiceW, QueryServiceConfigW, ChangeServiceConfigW, DeleteService, RegDeleteKeyW, RegSetValueExW, RegCreateKeyExW, RegDeleteValueW, RegQueryInfoKeyW, RegEnumKeyW, SetThreadToken, OpenProcessToken, DuplicateTokenEx, ImpersonateLoggedOnUser, RevertToSelf, RegEnumKeyExW, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, CloseServiceHandle, SetSecurityDescriptorDacl, AdjustTokenPrivileges, LookupPrivilegeValueW, RegQueryValueExA, ImpersonateSelf, OpenThreadToken, AddAccessAllowedAce, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, IsValidSecurityDescriptor, AccessCheck, ControlService, StartServiceW
> SHELL32.dll: SHGetSpecialFolderPathW, ShellExecuteW, SHGetMalloc, SHBrowseForFolderW, SHGetPathFromIDListW
> COMCTL32.dll: _TrackMouseEvent
> SHLWAPI.dll: PathIsDirectoryW
> ole32.dll: CoInitialize, CoCreateInstance, CoGetMalloc, StringFromIID, CoUninitialize
> OLEAUT32.dll: -
> MSVCP71.dll: __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV01@@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBD@Z, _replace@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@IIPBG@Z, _find@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBEIPBGI@Z, _compare@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBEHPBG@Z, _substr@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBE_AV12@II@Z, _npos@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@2IB, _find@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBEIGI@Z, __4_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV01@PBG@Z, __Y_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z, __Y_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV01@PBG@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __1_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@XZ, __0_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@XZ, __0_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@PBG@Z

( 0 exports )

KarlKarl 14.07.2008 00:42
Die Erkennungen sind zwar nicht gerade viele, aber kein Zweifel, die ist infiziert. Hier ein paar Dateien von meinem sauberen Vergleichsexemplar:
Zitat:
File size: 631041 bytes
MD5...: 1cadb7eaba973aa31530e4d02bc1d0a8
SHA1..: ba72b30040c2c214346388c570cb77e23ce83484
SHA256: fbf206b1081467f83bd26d3149d051986522fc39b2ff5dd60a3c06079a99dc89
SHA512: d4ab4192e819f8b703db3d6eb5cc25194ce52f07c00d50144ed19c2d57010e98
1cfb10ac9987bf1586f0a5cd0f333e75f4589f8840490dd8be6ad78380f7f4dc
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x44fde3
timedatestamp.....: 0x483d6fd1 (Wed May 28 14:44:33 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x53b49 0x54000 6.33 c6f1152f3c457eb9656d29750edd9af0
.rdata 0x55000 0x16146 0x17000 4.53 603eee8601f4232e08493ab6da5315e0
.data 0x6c000 0x368e58 0x22000 0.37 2eed6655a5ebb1a5660612d32363d124
.rsrc 0x3d5000 0xb148 0xc000 5.76 d27cafad02ee92f43eefe1819436c4a8
Darf ich fragen (frech und direkt): Was hast Du da gedownloaded und von wo? Sieht ja danach aus, dass Antivir diese Virut-Version noch nicht kennt (wird isch ändern, Virustotal hat die Datei bereits weitergeleitet), da vermute ich mal dass es eine andere Malware war, die zusätzlich von Virut infiziert war. Eine öfter vorkommende Infektionsquelle, ganz besonders oft, wenn man ausführbare Dateien aus P2P-Netzen lädt. Noch öfter, wenn sie Crack, Keygen, Patch oder ähnlich heißen. Daher meine Neugierde.

Das Dumme dabei ist aber, dass Virut alle EXE-Dateien eines Systems infiziert, bei der Infektion auch Daten in diesen Dateien überschreibt, so dass die nicht wiederhergestellt werden können, ein Netzwerkwurm ist, der versucht andere Computer zu infizieren (geht allerdings nur, wenn Windowsupdates fehlen) und einen Backdoorserver öffnet. Da kann ich dir eigentlich nur noch empfehlen, dein System komplett neu aufzusetzen.

Naoki 14.07.2008 00:48
Den Virus habe ich mir eingefangen als ich von einem Spiel private Server herunterlied.

Du meinst ja jetzt System neuaufsetzen, Windows neu zu installieren oder? Das Problem ist nur, dass ich das bereits vorhatte und ein Kumpel hatte mir seine Windows CD's gegeben, doch das hat nicht funktioniert. Wenn man die CD hinein tat wurde sie garnicht berücksichtigt und mein PC lief ganz normal bis zum Desktop durch und wenn wir die von Desktop aktivieren wollten, kam die Meldung, dass das nicht gehen würde, da die Version auf der CD älter ist als die jetztige Version auf dem PC. Könnte mir jemand helfen dieses Problem zu lösen?

KarlKarl 14.07.2008 01:41
Erstmal brauchst Du dein eigenes Windows, ein Windows auf mehreren Computern zu installieren, macht es illegal, führt schnell dazu dass der Key als illegal registriert wird und dann wirds mit den Updates verdammt schwierig.

Dann ins Bios gehen und dort die Startreihenfolge so ändern, dass von CD gestartet wird. Wenn es dann noch nicht funktioniert prüfen, dass die CD frei von Kratzern und Dreck ist und das CD-Laufwerk in Ordnung.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131