Hallo !
Habe mir den Virus "W32.Virut.A" eingefangen !
Wie werde ich den schnell wieder los! Mein AV-Programm startet nicht mehr und neu installieren kann ich das auch nicht.
Hilfe !

Wer kann mir helfen ????

Zitat:

Zitat von The Kiki

Hallo !
Habe mir den Virus "W32.Virut.A" eingefangen !
Wie werde ich den schnell wieder los! Mein AV-Programm startet nicht mehr und neu installieren kann ich das auch nicht.

Hallo,

das könnten die ersten Anzeichen des Trojaners sein das du deinen AV-Scanner nicht mehr starten/installieren kannst!
Wo wurde denn der Schädling gefunden, genaue Datei-/Verzeichnisangabe ist wichtig. Poste zusätzlich ein Hijacklog, Anleitung in meiner Signatur verlinkt.

Mein Rat in deinem Falle wäre aber eine Neuinstallation zumal deine Schädling nicht ganz ohne ist -> Ermöglicht Dritten den Zugriff auf den Computer

Gruß
Sunny

Hallo !Habe das System gerade erst neu installiert, mit allen möglichen updates. Wäre echt nicht schön wenn ich das nicht wieder hinbekomme.
Beim Onlinescan von Symantec sind viele verschiedenen Files gefunden worden. Fast ausnahmslos *.exe - Dateien.
Hier der HijachThis :

Logfile of HijackThis v1.99.1
Scan saved at 09:50:41, on 20.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Internet Explorer\iexplore.exe
H:\Alter Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://w*w.versatel.de/internet-cd/
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155747443552
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155747431330
O17 - HKLM\System\CCS\Services\Tcpip\..\{314A19D9-8F96-4CB0-B13F-3432A33F0B5F}: NameServer = 62.220.18.8 62.72.64.241
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - E:\Programme\Ahead\Nero 7\Nero BackItUp\NBService.exe

Ich hoffe auf Hilfe !

@The Kiki

Zitat:

Beim Onlinescan von Symantec sind viele verschiedenen Files gefunden worden.

Wo?

Zitat:

Fast ausnahmslos *.exe - Dateien.

Welche? Ein Paar Beispiele?
Übrigens: Im Log ist nix Auffälliges zu sehen.

Insgesammt 178 Dateien !
Ich lasse den Onlinescan gleich nochmal durchlaufen und poste dann das Ergebnis :

Zitat:

Zitat von The Kiki

Insgesammt 178 Dateien ! Ich lasse den Onlinescan gleich nochmal durchlaufen und poste dann das Ergebnis

Lieber nicht . Es reicht, wenn du einfach ein Paar Beispiele nennen könntest.
BTW: Was sagt dein Antivir? Das wäre interessant zu wissen.

Das Antivirenprogramm kann ich nicht mehr starten.
Eine Datei die ich noch weiß heißt "panzer3d.exe"
Habe ich bei Kaspersky onlinevirusscan durchlaufen lassen.

STATUS: FINISHEDComplete scanning result of "panzer3d.exe", received in VirusTotal at 08.20.2006, 10:02:21 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.3 08.18.2006 W32/Virut.A
Authentium 4.93.8 08.19.2006 W32/Splendor.4960
Avast 4.7.844.0 08.18.2006 Win32:Virut-B
AVG 386 08.18.2006 Win32/Virut.A
BitDefender 7.2 08.20.2006 Win32.Virtob.C
CAT-QuickHeal 8.00 08.18.2006 W95.TenRobot.B
ClamAV devel-20060426 08.20.2006 W32.Virut.A
DrWeb 4.33 08.19.2006 Win32.Virut
eTrust-InoculateIT 23.72.101 08.18.2006 Win32/Virut.5127
eTrust-Vet 30.3.3026 08.18.2006 Win32/Virut.5127
Ewido 4.0 08.19.2006 no virus found
Fortinet 2.77.0.0 08.20.2006 W32/Virut.fam
F-Prot 3.16f 08.18.2006 W32/Splendor.4960
F-Prot4 4.2.1.29 08.19.2006 W32/Splendor.4960
Ikarus 0.2.65.0 08.18.2006 Virus.Win32.Virut.a
Kaspersky 4.0.2.24 08.20.2006 Virus.Win32.Virut.a
McAfee 4832 08.18.2006 W32/Virut.a
Microsoft 1.1560 08.17.2006 Win32/Virut.A
NOD32v2 1.1716 08.20.2006 Win32/Virut.5127
Norman 5.90.23 08.18.2006 W32/Virut.A
Panda 9.0.0.4 08.19.2006 W32/Virutas.B
Sophos 4.08.0 08.19.2006 W32/Virut-A
Symantec 8.0 08.20.2006 W32.Virut.A
TheHacker 5.9.8.195 08.18.2006 W32/Virut.A
UNA 1.83 08.18.2006 Win32.Virut.a
VBA32 3.11.0 08.20.2006 Virus.Win32.Virut.A
VirusBuster 4.3.7:9 08.19.2006 Win32.Virut.A

Was soll ich machen ? AV neu installieren geht nicht. Läßt sich dann nicht starten.

Hilfe !!!

@The Kiki
Das ist ein IRCBot, ohne Windows neu zu installieren bekommst du die Gefahr nicht weg.
Wie hast du es geschafft?

Zitat:

Habe das System gerade erst neu installiert, mit allen möglichen updates

und sofort danach - die neue Seuche
Oder liegt die Datei irgendwo in deiner Ablage, und du hast die beim Rückspielen der Daten sie wieder ins System gebracht?
Sorry, aber das Ganze liegt außerhalb meines Verständnis.

Zitat:

Zitat Sophos

W32/Virut-A ist ein Virus und eine IRC-Backdoor für die Windows-Plattform.

Wenn eine Datei ausgeführt wird, die mit W32/Virut-A infiziert ist, wird der Virus resident im Speicher und versucht, alle ausführbaren Dateien zu infizieren, auf die von Prozessen zugegriffen wird, die im System aktiv sind. W32/Virut-A verbreitet sich auf diese Weise sehr schnell im Dateisystem.

W32/Virut-A versucht außerdem, sich mit einem IRC-Kanal zu verbinden und so als Backdoor zu fungieren, über die ein remoter Angreifer dem System schaden kann.

Neuinstallieren des Betriebssystems wäre die sicherste und beste Lösung

DANKE ! Ihr habt mir geholfen !
Werde wohl das ganze System mit allen Festplatten neu installieren !

Nochmals DANKE !

Zitat:

Zitat von The Kiki

DANKE ! Ihr habt mir geholfen !
Werde wohl das ganze System mit allen Festplatten neu installieren !

Nochmals DANKE !

Guten Morgen,

lies dir zum Thema Neuinstallation diese Anleitung GENAU durch und arbeite sie ab -> Hier

Sonst bist du heute Nachmittag wieder mit deinen Problemen hier im Forum

Gruß
Sunny

W32/Virut.A war der Virus, der 210 Dateien infiziert hatte.
Bei der Anmeldung zu XP erfolgte sofort die Abmeldung.

Wir haben mit der Chip.de Boot-CD: BartPE gebootet und
den Virenscanner (dessen Definitionsateien vorher aktualisiert
wurden) über die Festplatten laufen lassen. Ich habe die 210
infizierten Dateien löschen lassen und danach das System mit
XP InstallationsCD reparieren lassen.

Danach habe ich die Dateien:

userinit.exe und winlogon.exe im Verzeichnis c:\windows\system32
durch neue ersetzt. Danach ging alles wieder.