|
Oh mann... Nach längerer Zeit hats mich mal wieder erwischt. Hab eben mit KAV im abgesicherten Modus gescannt und ca. 700 infizierte exe dateien gefunden (fast alle auf meinem pc). Die Dateien hat er entweder desinfiziert oder gelöscht. Auch die *.tmp files des viruses sind weg. Das Ganze hat über 2 Stunden gedauert und nun bin ich verständlicherweise ziemlich sauer, dass KAV ihn immernoch mehrfach findet. In c:\windows\temp sind wieder 2 neue temp dateien von parite. Wie kann das sein? Alle infizierten exe dateien sind doch nun repariert/gar nicht mehr da !? Kann es sein dass ich den registry eintrag übersehen habe, also kann sich der virus allein durch den eintrag neu verbreiten, auch wenn gar keine dateien mehr da sind? Ich glaube nicht. Bin für jede Hilfe dankbar... CC |
Das Teil ist AFAIR speicherresident, schreibt sich wohl auch (zumindest eine der Versionen) in den Bootsektor und somit ziemlich hartnäckig. Reparieren würde ich da nichts lassen, sondern System neu aufsetzen. BTW: Wie kommst du zu dem Teil? |
</font><blockquote>Zitat:</font><hr />Original erstellt von IRON: BTW: Wie kommst du zu dem Teil? </font>[/QUOTE]...frage ich mich auch Neu aufsetzen wäre "katastrophal", betrifft ja nicht nur die c: partition sondern alles. Das kann ich ja nicht mehr brennen oder sichern, viel zu viel. Habe mir mal das removal toll von bitdefender runtergeladen, nachdem alles mögliche gekillt wurde gabs nen bluescreen... |
Kann denn keiner mehr was dazu sagen? Eben kam schon die meldung, dass einige systemdateien durch unbekannte ersetzt worden wären und ich sollte die winXP cd einlegen, was ich auch gemacht habe. Wie krieg ich das Ding aus dem Bootsektor? Kann man den irgendwie neu aufsetzen ohne dass daten verloren gehen? |
Versuche einfach mal das Folgende: 1.) Dieses Tool laden: h**p://shareware.pandasoftware.com/pq/gen/blaster/pqremove.com 2.) PC im abgesicherten Modus starten. 3.) Systemwiederherstellung deaktivieren. 4.) Tool ausführen. 5.) System neu starten. 6.) Falls erfolgreich, Daten sichern und System neu aufsetzen. |
Sophos sagt unter anderem: W32/Parite-B Alias: W32.Pinfi, W32/Pate-B, PE_PARITE.A, W32/Pate.b, W95/Parite.B, Win32.Parite.b Typ: Win32-Exe-Dateivirus Erkennung: Wird seit November 2001 von Sophos Anti-Virus erkannt. Erläuterung: Wenn W32/Parite-B ausgeführt wurde, verbleibt er im Speicher und infiziert alle PE- und SCR-Dateien auf jedem Laufwerk und auf jeder Netzwerkfreigabe. Der hauptsächliche Virencode wird in einer zufällig benannten TMP-Datei im Windows-temp-Verzeichnis abgelegt. Die Datei hat eine Größe von 172 KB. Version C = identische Symptome Bei Sophos ist Parite-B auf Platz 10 im Ranking der aktuellen Viren |
Danke erstmal, ich werd das morgen erstmal so machen: - in den abgesicherten modus - Registry eintrag entfernen - Mit KAV scannen, desinfizieren und löschen - neu starten Das scannen dauert ziemlich lange, deshalb mach ich das erst morgen. Was mir grade auffällt: Auf C: sinkt der speicherplatz... Kann das auch virtueller speicher sein, der den platz verbraucht? |
</font><blockquote>Zitat:</font><hr />Original erstellt von Crispy chicken: Was mir grade auffällt: Auf C: sinkt der speicherplatz... Kann das auch virtueller speicher sein, der den platz verbraucht? </font>[/QUOTE]Ja KANN, kann auch was anderes sein |
@shadow dann sollte bei meiner methode doch alles klappen, oder? Wo deaktiviere ich die systemwiederherstellung? |
Start => Systemsteuerung => System => Reiter Systemwiederherstellung, dort das Häkchen SETZEN |
Ok, danke, werde das dann mal probieren. Wenn ich das nun alles so mache wie ich oben beschrieben hab, und das teil ist immer noch da, woran kann das dann liegen? An diesem Bootsektor? Ich mein wenn alle exe desinfiziert, die *.tmp files des viruses und der registry eintrag weg sind, woher kann der dann noch kommen? |
Wenn Sophos, Panda, etc. recht haben, sollten deren AV-Programme das Virus löschen können. Der Schaden soll zwar nicht sehr groß sein, aber er nutzt quasi ALLE Wege um einen PC zu infizieren. |
Also, schaut gut aus. Folgendes hab ich gemacht: - In den abgesicherten modus gegangen - systemwiederherstellung deaktiviert - wert "PINF" aus der Registry gelöscht - mit KAV gescannt, 272 befallene Dateien, ~260 wurden repariert, der rest gelöscht. - Nochmal gescannt, keine neuen Funde Nun wieder hier im normalen Modus, findet kav kein Virus mehr, nur ein paar beschädigte dateien, was mich aber nicht weiter stört und folgendes, was er auch schon im abgesicherten modus gefunden hat: MASTER-BOOTSEKTOR von FESTPLATTE1 Eintrag #2 ..... E/A Fehler Eintrag #3 ..... E/A Fehler Eintrag #3 ..... E/A Fehler Ich weiss nicht was das heißt :( Jedenfalls scheine ich das Teil los zu sein... |
Du lässt Dateien, die von Parite befallen waren, reparieren und vertraust ihnen dann wieder? Gehts noch? Du siehst Fehler im Bootbereich und es SCHEINT dir so, als wärst du den Schädling los? Hallooo hooooooo. Aufwachen! Der Zustand deines Rechners ist NICHT DEFINIERT. Du kannst KEINER EINZIGEN ausführbaren Datei mehr trauen. Mach den Rechner platt. Alles andere ist grob fahrlässig und Augenwischerei. |
@ IRON: sei halt nicht immer so eisern :D Wenn er probiert ob das System noch stabil läuft und es tut sich nichts hat er viel Zeit und Arbeit gespart. Und wenn Du jetzt sagts es könnte ja irgendwo noch versteckt der Virus rumkriechen, hast Du zwar recht, aber in jedem Backup in allen gesicherten Dateien, könnte dies sein. 100% gibt es halt nicht. Natürlich würde eine komplette Neuinstallation einigen normalen Betriebsmüll auch mitentsorgen. @CC versuch mal >>chkdsk /F<< für alle Partitionen Für die Systempartition am Schluß, denn dafür ist ein Reboot nötig. gilt für NT/2000/XP |
Daten kannste noch mit der Knoppix CD retten (mit Brennfunktion) Einfach einlegen und booten. Ciao |
</font><blockquote>Zitat:</font><hr />Original erstellt von I_wanna_know: Daten kannste noch mit der Knoppix CD retten (mit Brennfunktion) Einfach einlegen und booten.</font>[/QUOTE]Wobei ich nochmal die Betonung auf das Wort Daten legen möchte - also keine ausführbaren Dateien, sondern wirklich nur Daten sichern! |
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: @ IRON: sei halt nicht immer so eisern</font>[/QUOTE]Netter Spruch, aber irrelevant. Hier gehts doch um Sicherheit und nicht um Scheinsicherheit, oder? </font><blockquote>Zitat:</font><hr />Und wenn Du jetzt sagts es könnte ja irgendwo noch versteckt der Virus rumkriechen, hast Du zwar recht, aber in jedem Backup in allen gesicherten Dateien, könnte dies sein.</font>[/QUOTE]Zwar Recht, aber??? Da gibt es kein ABER. Man macht kein Backup infizierter Daten. Wäre doch saublöd. Man macht Backups von definitiv virenfreien Dateien. Es sei denn, man sichert eine Sammlung von Malwaresamples. |
Och menno, mir blutet das Herz, schon wieder formatieren zu müssen. Bin gerade am Dateien sichern... Aber du hast wahrscheinlich recht... Nur es ist halt schon ne Menge arbeit... [img]graemlins/heulen.gif[/img] |
Hallo zusammen. Ich hoffe mir kann jemand bei meinem Problem helfen. Wie ich sehe ist dieser Virus schon etwas älter. Aber ich habe ihn mir letzte Nacht eingefangen. AntiVir kann ihn nicht löschen. Jetzt habe ich mich schon ein wenig durchgelesen und es wird öfter dieser Kav Scanner erwähnt. Auf deren Seite kann man aber zur Zeit nicht runterladen. Und dann hab ich noch von F-Prot gelesen. weiß aber jetzt nicht was ich machen soll um den wieder los zu werden. Da das ganze Thema schon was älter ist, hat sich in der Zeit vielleicht etwas geändert !? Wäre super wenn ihr mir helfen könntet. :o |
Hallo ich nochmal. Weil ich das jetzt schon öfters gelesen habe, dachte ich ich probiere das mal mit der Systemwiederherstellung deaktivieren. Und in der regedit habe ich auch diesen beschrieben PINF nicht gefunden. Nach dem mit der Systemwiederherstellung deaktivieren findet der Anti Vir den Virus nicht mehr. Ist er denn dann jetzt schon weg ? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board