Hallo liebe Leute,

ich habe ein Problem, ich kann Antivir nicht deinstallieren. Wenn ich eine neue Version davon runterlade und neuinstallieren möchte kommt dann die Meldung..
http://w...trojaner-board.de/newthread.php?do=newthread&f=7

Die CRC Summe von C;\Programm Files\Avira\Antivir PersonaleditionClassic\SETUP.exe wurde verändert!Dies könnte von einem Virus verursacht sein.

Ich habe hier mal im Forum geschaut was die Leute so gemacht haben und habe dann auch einen Hijack gemacht.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:58:40, on 18/02/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Stardock\MyColors\VistaSrv.exe
C:\Program Files\Stardock\MyColors\WBVista.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ATK Hotkey\ASLDRSrv.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Windows\system32\lxctcoms.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ThreatFire\TFService.exe
C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
C:\Windows\System32\TUProgSt.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Lexmark 5400 Series\lxctmon.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\ThreatFire\TFTray.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\TEMP\VRT958F.tmp
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.digsby.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [lxctmon.exe] "C:\Program Files\Lexmark 5400 Series\lxctmon.exe"
O4 - HKLM\..\Run: [Lexmark 5400 Series Fax Server] "C:\Program Files\Lexmark 5400 Series\fm3032.exe" /s
O4 - HKLM\..\Run: [LXCTCATS] rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [ThreatFire] C:\Program Files\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/VistaMSNPUpldde-de.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1209213725
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxct_device - - C:\Windows\system32\lxctcoms.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: ThreatFire - PC Tools - C:\Program Files\ThreatFire\TFService.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Stardock WindowBlinds (WindowBlinds) - Stardock Corporation - C:\Program Files\Stardock\MyColors\VistaSrv.exe

--
End of file - 12188 bytes

das war das ergebnis..

Was auch komisch ist ich bekomme immer eine Meldung wegen Topi.exe funktioniert nicht mehr.

Bitte ich brauche eure Hilfe. Hab doch keine Ahnung bin BWLerin..

Hi,

da besteht wirklich Verdacht auf einen Virus. Geh mal zu VirusTotal und lass dort die C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe für einen Onlinescane hochladen. Ebenfalls die C;\Programm Files\Avira\Antivir PersonaleditionClassic\SETUP.exe. Ergebnisse bitte hierher kopieren.

Gruß, Karl

bla bla bla...ich hab wirklich so schiss...oh gott hoffentlich geht des gut..

Zitat:

Zitat von KarlKarl

Hi,

da besteht wirklich Verdacht auf einen Virus. Geh mal zu VirusTotal und lass dort die C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe für einen Onlinescane hochladen. Ebenfalls die C;\Programm Files\Avira\Antivir PersonaleditionClassic\SETUP.exe. Ergebnisse bitte hierher kopieren.

Gruß, Karl

Das ist mit einem Virus befallen. 19 antivirus programme haben zugestimmt..bei Topi.exe

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.18 -
AhnLab-V3 2009.2.19.0 2009.02.18 -
AntiVir 7.9.0.83 2009.02.18 W32/Virut.Gen
Authentium 5.1.0.4 2009.02.18 W32/Virut.AI!Generic
Avast 4.8.1335.0 2009.02.18 Win32:Vitro
AVG 8.0.0.237 2009.02.19 -
BitDefender 7.2 2009.02.19 -
CAT-QuickHeal 10.00 2009.02.18 -
ClamAV 0.94.1 2009.02.18 -
Comodo 983 2009.02.18 -
DrWeb 4.44.0.09170 2009.02.19 Win32.Virut.56
eSafe 7.0.17.0 2009.02.18 -
eTrust-Vet 31.6.6364 2009.02.19 Win32/Virut.17408
F-Prot 4.4.4.56 2009.02.18 W32/Virut.AI!Generic
F-Secure 8.0.14470.0 2009.02.18 Virus.Win32.Virut.ce
Fortinet 3.117.0.0 2009.02.18 -
GData 19 2009.02.19 Win32:Vitro
Ikarus T3.1.1.45.0 2009.02.18 -
K7AntiVirus 7.10.630 2009.02.18 -
Kaspersky 7.0.0.125 2009.02.19 Virus.Win32.Virut.ce
McAfee 5529 2009.02.17 W32/Virut.n.gen
McAfee+Artemis 5529 2009.02.17 W32/Virut.n.gen
Microsoft 1.4306 2009.02.18 Virus:Win32/Virut.BM
NOD32 3866 2009.02.18 Win32/Virut.NBK
Norman 6.00.06 2009.02.18 -
nProtect 2009.1.8.0 2009.02.18 -
Panda 9.4.3.20 2009.02.18 -
PCTools 4.4.2.0 2009.02.18 -
Prevx1 V2 2009.02.19 -
Rising 21.17.22.00 2009.02.18 -
SecureWeb-Gateway 6.7.6 2009.02.18 Win32.Virut.Gen
Sophos 4.38.0 2009.02.18 W32/Scribble-A
Sunbelt 3.2.1855.2 2009.02.17 Win32.Virut.cf (v)
Symantec 10 2009.02.19 W32.Virut.CF
TheHacker 6.3.2.2.259 2009.02.18 -
TrendMicro 8.700.0.1004 2009.02.18 Possible_Virus
VBA32 3.12.10.0 2009.02.18 Virus.Win32.Virut.X5
ViRobot 2009.2.18.1613 2009.02.18 -
VirusBuster 4.5.11.0 2009.02.18 -
weitere Informationen
File size: 602112 bytes
MD5...: 2c8c86faf330f6b1ed3359f53ff1af8b
SHA1..: fd6d77818e507a8fef496c97b9f2d71bb41cdcf8
SHA256: 7a22b7f6df3e68a69702798036a69a7a7f10d74c2929a5594f7b14c950ffab10
SHA512: e5767a3329b59c03cacfd12b47fa59060526d46ebc84e6ebeaef036fac0c6c01
e9e8ad7e25d335467e4112c050546d2a6d89ae403493de99f89c2e5d9f5e91b2
ssdeep: 3072:d/9xwMyFAD2KwL6mziiZMwYxe7Lop1O8gNfYbC+iWN:d16MyFAD2KwOOiiO
wtei
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x493112
timedatestamp.....: 0x4693341a (Tue Jul 10 07:24:10 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2000 0x871b4 0x88000 5.06 cecd6f7de9b9788c8d90bd0063c47cb8
.rsrc 0x8a000 0x3f68 0x4000 3.29 86d40a8a49172f66445f7b797bac64c4
.reloc 0x8e000 0x7000 0x6000 6.31 3e8ca692dcf9ea91c026fee52239b5a9

( 1 imports )
> mscoree.dll: _CorExeMain

( 0 exports )

Das ist von Antivir...


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.18 -
AhnLab-V3 2009.2.19.0 2009.02.18 -
AntiVir 7.9.0.83 2009.02.18 W32/Virut.Gen
Authentium 5.1.0.4 2009.02.18 W32/Virut.AI!Generic
Avast 4.8.1335.0 2009.02.18 Win32:Vitro
AVG 8.0.0.237 2009.02.19 -
BitDefender 7.2 2009.02.19 -
CAT-QuickHeal 10.00 2009.02.18 -
ClamAV 0.94.1 2009.02.18 -
Comodo 983 2009.02.18 -
DrWeb 4.44.0.09170 2009.02.19 Win32.Virut.56
eSafe 7.0.17.0 2009.02.18 -
eTrust-Vet 31.6.6364 2009.02.19 Win32/Virut.17408
F-Prot 4.4.4.56 2009.02.18 W32/Virut.AI!Generic
F-Secure 8.0.14470.0 2009.02.18 Virus.Win32.Virut.ce
Fortinet 3.117.0.0 2009.02.18 -
GData 19 2009.02.19 Win32:Vitro
Ikarus T3.1.1.45.0 2009.02.18 -
K7AntiVirus 7.10.630 2009.02.18 -
Kaspersky 7.0.0.125 2009.02.19 Virus.Win32.Virut.ce
McAfee 5529 2009.02.17 W32/Virut.n.gen
McAfee+Artemis 5529 2009.02.17 W32/Virut.n.gen
Microsoft 1.4306 2009.02.18 Virus:Win32/Virut.BM
NOD32 3866 2009.02.18 Win32/Virut.NBK
Norman 6.00.06 2009.02.18 -
nProtect 2009.1.8.0 2009.02.18 -
Panda 9.4.3.20 2009.02.18 -
PCTools 4.4.2.0 2009.02.18 -
Prevx1 V2 2009.02.19 -
Rising 21.17.22.00 2009.02.18 -
SecureWeb-Gateway 6.7.6 2009.02.18 Win32.Virut.Gen
Sophos 4.38.0 2009.02.18 W32/Scribble-A
Sunbelt 3.2.1855.2 2009.02.17 Win32.Virut.cf (v)
Symantec 10 2009.02.19 W32.Virut.CF
TheHacker 6.3.2.2.259 2009.02.18 -
TrendMicro 8.700.0.1004 2009.02.18 Possible_Virus
VBA32 3.12.10.0 2009.02.18 Virus.Win32.Virut.X5
ViRobot 2009.2.18.1613 2009.02.18 -
VirusBuster 4.5.11.0 2009.02.18 -
weitere Informationen
File size: 655617 bytes
MD5...: 1818d069ac06465321245e60b445afd4
SHA1..: 94d8fc261d3ca23732d727d66805aed526889183
SHA256: 90ba277f6504b237e89563e19f3946a1e9f6378f7ea1b9c37fe00550e5eae880
SHA512: b53f7d9074bf5dd6bc7c8257ef035da94c056f9bbb5ee1d6edd21da417aea073<br>6609fbb42befe45c4007fe006532cedd356aebe0454be760b3af66b565d587ba
ssdeep: 6144:0s6a/q3ujFxTQ3lzzlhVefKjnrBAGIkYQRs9iNurG1+0NA7TcB8G9oXSlni<br>Mixj3:X2OTQ1zki35YQRPbNUTcGGkr9x7<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x7ef0fa<br>timedatestamp.....: 0x4864bc48 (Fri Jun 27 10:09:12 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x54f99 0x55000 6.35 9bdcde094667f79b508bdadf16778d63<br>.rdata 0x56000 0x1643c 0x17000 4.57 71a9f4118f0b6394fce054d8aed725d4<br>.data 0x6d000 0x371af8 0x22000 0.37 3d9a91bbd63a34f468b751c0a97f4bb1<br>.rsrc 0x3df000 0x11000 0x11000 6.33 a24346c2ebd01f7dcd8ad2264ce171eb<br><br>( 16 imports ) <br>&gt; RPCRT4.dll: UuidCreate<br>&gt; VERSION.dll: GetFileVersionInfoSizeW, VerQueryValueW, GetFileVersionInfoA, GetFileVersionInfoSizeA, GetFileVersionInfoW<br>&gt; WS2_32.dll: WSCDeinstallProvider, WSCInstallProvider, WSCEnumProtocols, -, WSCGetProviderPath, -<br>&gt; MFC71U.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<br>&gt; MSVCR71.dll: strtoul, memset, _c_exit, _exit, _XcptFilter, _cexit, _wcmdln, _amsg_exit, __wgetmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, __security_error_handler, __dllonexit, _onexit, __1type_info@@UAE@XZ, _filelength, _lseek, calloc, _wstat, sprintf, rename, _errno, strstr, strchr, fseek, fgets, sscanf, wcsncmp, wcstok, _wgetenv, mbstowcs, _purecall, _resetstkoflw, _wgetcwd, _wchdir, printf, _wcsdup, realloc, clock, fflush, fputc, vswprintf, time, srand, rand, memmove, _CxxThrowException, __0exception@@QAE@ABV0@@Z, __0exception@@QAE@XZ, __1exception@@UAE@XZ, _wopen, _close, _wchmod, _itow, wcschr, swscanf, _wrename, _wcslwr, _wsplitpath, _wunlink, fgetws, wcsstr, _wcsicmp, _wfopen, fputws, fclose, wcsrchr, _snwprintf, wcsncpy, _wsopen, malloc, _eof, _read, _wcsupr, _waccess, exit, wcscpy, wcscat, swprintf, wcslen, _wtoi, wcscmp, __CxxFrameHandler, free, _except_handler3, _terminate@@YAXXZ, _controlfp, _sopen, _write, _stat, _chmod, _chsize, _unlink, _access, wcsncat<br>&gt; KERNEL32.dll: FreeLibrary, DeleteCriticalSection, InitializeCriticalSection, GetVersionExW, WritePrivateProfileStringW, WriteFile, SetErrorMode, LocalAlloc, HeapAlloc, GetProcessHeap, HeapFree, MultiByteToWideChar, ExpandEnvironmentStringsA, WideCharToMultiByte, LoadLibraryExW, GetCurrentProcess, GetCurrentThread, GetSystemTimeAsFileTime, GetCommandLineW, CreateFileA, GetModuleHandleA, ExitProcess, LoadLibraryW, Sleep, RemoveDirectoryW, GetCurrentThreadId, GetModuleFileNameW, ExpandEnvironmentStringsW, SetFileAttributesW, GetFileAttributesW, GetDiskFreeSpaceExW, GetTempPathW, GetExitCodeProcess, WaitForSingleObject, OpenEventW, DeleteFileW, CreateProcessW, OpenProcess, LockResource, LoadResource, FindResourceW, QueryPerformanceCounter, SystemTimeToFileTime, GetSystemTime, GetShortPathNameW, FindClose, GetLastError, FindNextFileW, FindFirstFileW, GetProcAddress, GetModuleHandleW, CopyFileW, CreateDirectoryW, GetPrivateProfileStringW, CloseHandle, GetFileSize, CreateFileW, GetWindowsDirectoryW, LoadLibraryA, MoveFileExW, GetTickCount, GetFileTime, GetTimeFormatW, GetDateFormatW, GetLocalTime, LocalFree, lstrcpyW, lstrlenW, TerminateProcess, SetEvent, lstrcpynW, GetSystemDirectoryW, ReadFile, GetPrivateProfileIntW, GlobalFree, GlobalAlloc, GetComputerNameW, GetStartupInfoW, GetDriveTypeW, SetLastError, GetLocaleInfoW, ReleaseMutex, CreateMutexW, GetCurrentProcessId, LeaveCriticalSection, GetVersionExA, HeapDestroy, HeapReAlloc, HeapSize, DeviceIoControl, EnterCriticalSection<br>&gt; USER32.dll: DrawStateW, GetActiveWindow, GetLastActivePopup, CopyRect, PeekMessageW, LoadStringW, TranslateMessage, MapDialogRect, SetCursor, InflateRect, FillRect, DestroyIcon, DrawIconEx, SetRect, LoadCursorW, MessageBoxW, SendMessageW, wsprintfW, LoadImageW, LoadIconW, ExitWindowsEx, DispatchMessageW, RegisterWindowMessageW, ScreenToClient, PtInRect, GetDC, ReleaseDC, SetCapture, ReleaseCapture, SetWindowLongW, GetSystemMetrics, GetClassNameW, GetClassLongW, SetClassLongW, IsChild, InvalidateRect, GetClientRect, OffsetRect, MessageBeep, GetDesktopWindow, GetMessagePos, GetWindowRect, SetTimer, GetParent, PostMessageW, EnableWindow, KillTimer, GetForegroundWindow, AttachThreadInput, GetWindowThreadProcessId, SetForegroundWindow, SetWindowPos, SetFocus<br>&gt; GDI32.dll: SetPixel, GetPixel, RoundRect, CreatePen, GetStockObject, CreatePalette, GetTextExtentPoint32W, SetDIBitsToDevice, StretchDIBits, RealizePalette, GetObjectW, CreateFontW, CreateSolidBrush, GetDIBits, CreateFontIndirectW<br>&gt; comdlg32.dll: GetOpenFileNameW, CommDlgExtendedError<br>&gt; ADVAPI32.dll: EqualSid, GetSecurityDescriptorDacl, BuildExplicitAccessWithNameW, SetEntriesInAclW, SetSecurityInfo, AllocateAndInitializeSid, SetNamedSecurityInfoW, InitializeAcl, AddAce, GetSidLengthRequired, InitializeSid, GetSidSubAuthority, IsValidSid, GetLengthSid, CopySid, CreateProcessAsUserW, GetUserNameW, GetTokenInformation, LookupAccountSidW, CreateServiceW, RegOpenKeyW, QueryServiceStatus, RegCreateKeyW, OpenSCManagerW, OpenServiceW, QueryServiceConfigW, ChangeServiceConfigW, DeleteService, RegDeleteKeyW, RegSetValueExW, RegCreateKeyExW, RegDeleteValueW, RegQueryInfoKeyW, RegEnumKeyW, SetThreadToken, OpenProcessToken, DuplicateTokenEx, ImpersonateLoggedOnUser, RevertToSelf, RegEnumKeyExW, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, CloseServiceHandle, GetAce, GetAclInformation, GetNamedSecurityInfoW, FreeSid, RegEnumValueW, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, AdjustTokenPrivileges, LookupPrivilegeValueW, StartServiceW, ControlService, AccessCheck, IsValidSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, AddAccessAllowedAce, OpenThreadToken, ImpersonateSelf, RegQueryValueExA, RegOpenKeyExA, GetSecurityInfo<br>&gt; SHELL32.dll: SHBrowseForFolderW, SHGetSpecialFolderPathW, ShellExecuteW, SHGetMalloc, SHGetPathFromIDListW<br>&gt; COMCTL32.dll: _TrackMouseEvent<br>&gt; SHLWAPI.dll: PathIsDirectoryW<br>&gt; ole32.dll: CoInitialize, CoCreateInstance, CoGetMalloc, StringFromIID, CoUninitialize<br>&gt; OLEAUT32.dll: -<br>&gt; MSVCP71.dll: __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV01@@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBD@Z, _replace@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@IIPBG@Z, _find@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBEIPBGI@Z, _compare@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBEHPBG@Z, _substr@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBE_AV12@II@Z, _npos@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@2IB, _find@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QBEIGI@Z, __4_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV01@PBG@Z, __Y_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z, __Y_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV01@PBG@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __1_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@XZ, __0_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@XZ, __0_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@PBG@Z<br><br>( 0 exports ) <br>

Treffer (und versenkt).

Virut ist ein Virus der EXE-Dateien infiziert, der außerdem als Netzwerkwurm versucht andere Computer zu infizieren und schließlich einen Backdoorserver bereitstellt. Wenn das nicht bei mehr Dateien auffällt, dann dürfte es daran liegen, dass die meisten Dateien auch mit einem Virut laufen, es sind nur sehr wenige Programme, die eine Selbstüberprüfung haben wie z.B. diese setup.exe.

Das Mittel der Wahl dagegen ist formatieren und neuinstallieren des Systems. Es kommt dabei besonders drauf an, dass keine EXE-Dateien behalten werden, man darf davon ausgehen, dass jede EXE-Datei, die mit Schreibrechten erreichbar war für das infizierte System, jetzt auch infiziert ist. Das gilt auch für externe Festplatten und Sticks. Eine einzige solche Datei einmal im neuen System gestartet und schon wäre es auch wieder kaputt.

Und man sieht noch eins: Aus den Logs entnehme ich, dass mindestens folgende securitybezogene Software installiert wurde: Antivir, ASquared, AVG, Spyware Terminator, ThreatFire, Spybot S&D, Windows Defender, Trojan Remover (was vergessen?): Genützt hat es nichts, ein Doppelklick und schon ist es passiert.

Da gehts nichts mehr.......leider

und schon wieder einen an die Bösen verloren....

Hi,

Wenn ihr recht habt und Virut andere .exe dateien infiziert,
solltest du csrss.exe und winlogon.exe auch prüfen lassen. Diese .exe Dateien werden von solchen viren gerne infiziert. Ich sehe auch wenig hoffnung. Am einfachstesn wäre du machst ein backup deiner wichtigen Dateien und legst dann Windows neu auf.

MFG

grandnic11

Wenn schon, dann wirklich alle EXE-Dateien prüfen lassen. Das dauert bestimmt länger als die Neuinstallation. Vielleicht wird Virustotal es als DOS ansehen und die eigene IP blockieren.