Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 25.09.2009, 10:27   #1
Taubenmann
 
W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



Hallo!

Mein AntiVir findet seit gestern immer den Virus "W32/Virut.Gen".
Seit heute morgen kommen ununterbrochen Meldungen über Funde.
Dieser "Virus" findet sich jedoch nicht nur in einer Datei, sehr viele Dateien sind davon betroffen.
Die meisten in ...Windows/System32 oder Program Files.

Hab mal ein HiJack-LOG gemacht. Wäre froh, wenn mir jemand helfen könnte!

LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:47:59, on 25.09.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Windows\PLFSetI.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\Windows\ehome\ehtray.exe
D:\Programme\ICQ6.5\ICQ.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\Karsten\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1108&m=aspire_7730g
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1108&m=aspire_7730g
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1108&m=aspire_7730g
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [BkupTray] "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [ProductReg] "C:\Program Files\Acer\WR_PopUp\ProductReg.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ICQ] ~"D:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\program files\aol\aol toolbar 5.0\resources\de-de\local\search.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F22CB9F-CDED-4075-9809-841AF7FDED0D}: NameServer = 212.7.160.2 212.7.160.9
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: @%SystemRoot%\ehome\ehrecvr.exe,-101 (ehRecvr) - Unknown owner - C:\Windows\ehome\ehRecvr.exe
O23 - Service: @%SystemRoot%\ehome\ehsched.exe,-101 (ehSched) - Unknown owner - C:\Windows\ehome\ehsched.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\Windows\system32\msiexec.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe
O23 - Service: sofatnet Service (sofatnet) - Sigma Designs In - C:\Windows\system32\sofatnet.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe

--
End of file - 10989 bytes

Alt 25.09.2009, 10:35   #2
Silent sharK
 

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



Hi,

ich denke, du kannst dich schonmal mit einem Neuaufsetzen anfreunden..

Führe bitte dennoch dieses Programm im Safe Mode aus:

DrWeb - CureIT:
  • Lade dir DrWeb => Klick
  • Lies dir die Anleitung sorgfältig durch und folge ihr
  • Poste das am Schluss erstelle DrWeb.txt mit [code]-Tags umschlossen:
HTML-Code:
[CODE]Hier das Logfile rein![/CODE]
__________________

__________________

Alt 25.09.2009, 10:43   #3
Taubenmann
 
W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



tut mir leid wenn ich so dumm frage, aber wie gehe ich denn in den safe-mode?

danke für die schnelle hilfe sconmal!

-------------
sorry, war zu schnell!
hab es mir durchgelesen
__________________

Geändert von Taubenmann (25.09.2009 um 10:49 Uhr)

Alt 25.09.2009, 15:55   #4
Taubenmann
 
W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



Hi,
also hab mal den Computer versucht im Safe Modus zu starten, dann ging aber erstmal gar nichts mehr. Sprich, der Computer ist nicht mehr hochgefahren.
Ein Freund von mir hat dann eine bestimmte Tastenkombi gedrückt und kam in ein Menü, indem er dann eine Systemwiederherstellung vom 17.09.09 gemacht hat.
Im Moment läuft der PC auch wieder normal. AntiVir hat noch nichts gefunden. Mache gerade nen System-Check.

Soll das nun schon die Lösung des Problems gewesen sein?

Alt 25.09.2009, 17:33   #5
Taubenmann
 
W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



So, der AntiVir System-Check ist fertig.

Resultat: 3 Funde (W32/Virut.Gen)!

Im Vergleich dazu hatte er vor der Wiederherstellung heute morgen über 197 Funde!

Ist es damit getan, wenn ich die infizierten Dateien lösche (sind zur Zeit in Quarantäne)? Es sind alles keine Dateien des Systems, sondern Dateien von später installierten Programmen, von denen ich mich auch trennen könnte.

Oder soll ich trotzdem Dr. Web im abgesicherten Modus drüberlaufen lassen?

Danke für die Hilfe!


Alt 25.09.2009, 18:40   #6
Angel21
 
W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



Mach mal Dr. Web im Normalen Modus.

Poste dann die Funde.
__________________
--> W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen

Alt 25.09.2009, 21:20   #7
Taubenmann
 
W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



Danke für den Tipp!

Werds morgen früh direkt machen und wieder posten.

Also vielen Dank schonmal für die schnelle Hilfe!

Alt 27.09.2009, 10:05   #8
Taubenmann
 
W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



Dauert noch was mit der Dr.Web-Auswertung.
Hab es gestern nachmittag gestartet und über Nacht laufen lassen. Irgendwann heut Nacht hat Dr. Web sich dann aufgehangen und ich hab heut morgen nur noch die Fehlermeldung gelesen. Hab es jetzt nochmal neu gestartet. Während das läuft findet AntiVir übrigens auch zwischendurch immer mal wieder einen Trojaner im Ordner: C:\Users\***\AppData\Local\Temp\

Die Dateien, die es findet heißen drw00001.tmp, oder drw00669.tmp usw. mit diesem Trojaner: TR/Crypt.XPACK.Gen

Sind das Dateien von DrWeb? Lag jetzt nahe, wegen den Dateinamen.

Alt 27.09.2009, 10:15   #9
Silent sharK
 

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



Wäre nicht schlecht, wenn du während des Scans den AVGuard deaktivierst.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 27.09.2009, 18:36   #10
Taubenmann
 
W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



hmm, Dr.Web hat sich schon wieder aufgehangen. Es erscheint auf einmal die Meldung: "... funktioniert nicht mehr." also so ne normale vista-fehlermeldung.
und jetzt?

Alt 27.09.2009, 22:44   #11
Silent sharK
 

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



Blöd, dass DrWeb nicht funktioniert. In einem Virutfall würde ich generell zum Neuaufsetzen empfehlen. Warum? Mehr dazu hier:

Zitat:
http://www.symantec.com/security_response/writeup.jsp?docid=2006-051402-1930-99
http://www.f-secure.com/v-descs/virus_w32_virut.shtml
http://www.sophos.de/security/analyses/w32virutx.html

Virut infiziert EXE-Dateien, alle EXE-Dateien, die zugänglich sind, also auch auf anderen Partitionen und Laufwerken. Dementsprechend ist er in den üblichen Logs wie Hijckthis nicht zu erkennen, da die Dateinamen und Verzeichnisse dadurch nicht beeinflusst werden. Wenn der vorhanden ist, nachdem Du eine Sicherung deines Systems in einem Image zurückgespielt hast, dann steckt er vermutlich schon in diesem Image. Das ist dann wertlos. Eventuell war es auch eine EXE-Datei auf einem anderen Laufwerk.

Die letzte Zeit tritt der deutlich häufiger auf, außerdem enthält er eine Backdoor, über die das System ferngesteuert werden kann.

Du kannst eigentlich nur probieren, ob dein Virenscanner diese Dateien reparieren kann. Nach den bisherigen Erfahrungen sieht es damit aber schlecht aus, Virut überschreibt auch einen Teil der Dateien bei der Infektion, so dass nicht mehr bekannt ist, was dort vorher stand. Beste Lösung ist, alles zu löschen und neu zu installieren. Reine Daten, wie JPG, GIF, DOC, XLS, MP3, WMF, usw. kannst Du sichern, aber alles, was ausführbar ist, insbesondere EXE, COM, SCR muss weg. Dabei auch Wechsellaufwerke beachten, die nur zeitweise am PC angeschlossen sind, eventuelle Freigaben mit Schreibrechten auf anderen PCs im Netzwerk, gebrannte CDs und DVDs. Wenn eine eine einzige infizierte EXE-Datei übersehen wird und gestartet wird, war die ganze Mühe vergebens.

Wie schon beschrieben: Ich habe vor einiger Zeit einen Virut analysiert, also den Code angesehen, was er wie macht. Beim infizieren von EXE-Dateien überschreibt er ein paar Byte, deren Inhalt damit verloren ist. Und er infiziert jede EXE-Datei, an die er rankommen kann, deshalb ist der Stick jetzt auch infiziert und muss ebenfalls formatiert werden. Software in Zukunft von Original-CD installieren, die können nicht beschrieben werden. Und aus dem Web heruntergeladene Installer kann man noch einmal runterladen. Dann ebenfalls auf CD archivieren.



Virut infiziert EXE-Dateien, wenn er im neu installierten System wieder ankommt, dann liegt es bestimmt daran, dass irgendeine EXE-Datei übersehen wurde. Außerdem infiziert er SCR-Dateien, das sind nur umbenannte EXE-Dateien, die als Bildschirmschoner gedacht sind, für die gilt das Gleiche. Eine infizierte EXE-Datei gestartet und schon ist das System fertig. Dabei ist zu beachten, dass EXE-Dateien auch in Archiven stecken können wie z.B. ZIP oder RAR. Ebenso können sie auch auf anderen Partitionen/Festplatten liegen oder als Sicherung auf CD/DVD gebrannt sein, USB-Platten und -Sticks nicht zu vergessen. Downloads aus P2P-Netzen, UseNext usw. ebenfalls löschen, aus solchen Quellen kommen oft infizierte Dateien, wobei die infizierte EXE dann acuh in einem Archiv stecken kann.

Solange Du darauf achtest, dass wirklich keine EXE übernommen wird und die Neuinstallation nur von Original-CDs erfolgt, reicht es aus, im Windowsinstallationsprogramm die Platte formatieren zu lassen. Dabei die langsame Version wählen, dabei wird alles einmal überschrieben und so am Rande mal ein einfacher Festplattentest dadurch realisiert.

Sollte er dennoch wieder auftauchen, dann liegt es daran, dass eben doch eine infizierte EXE gestartet wurde. Ein kleines zusätzliches Risiko liegt noch darin, dass Virut auch als Netzwerkwurm auftritt, die entsprechenden Fehler in Windows, die er ausnutzt, sind aber seit Jahren gepatcht. Wenn alle Sicherheitsupdates installiert sind, ist das ausgeschlossen.
(von Karl)
Mich würde aber mal interessieren, was das Programm dazu sagt:

Remove Virut:
  • Lade Dir die rmvirut.exe und rmvirut.nt von AVG herunter und speichere sie zusammen in einen Ordner auf Deinen Desktop.
  • Starte sie durch ein Doppelklicken. rmvirut.exe scannt Deinen Rechner auf W32/Virut und repariert ggf. die infizierten EXE- und SCR-Dateien.
  • Wenn der Scan zuende ist, speicherst du das erstellte Log und kopiere es dann in den Thread (bitte in [code]-Tags):

HTML-Code:
[CODE]Hier das Logfile rein![/CODE]
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 28.09.2009, 11:00   #12
Taubenmann
 
W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



beim download der rmvirut.exe erkennt antivir es als trojaner.
soll ich diese meldung ignorieren?

Alt 28.09.2009, 11:23   #13
Silent sharK
 

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



Das ist ein Fehlalarm von Avira. Aber wie gesagt, mich interessiert nur ob das Tool etwas findet.

Es wäre dennoch ratsam, ein Neuaufsetzen in Betracht zu ziehen.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 28.09.2009, 11:27   #14
Taubenmann
 
W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



ok, dann führe ich das programm mal aus.

das problem beim Neuaufsetzen ist, dass ich keine windows-cd habe. der virut ist auf meinem laptop und da war vista nur vorinstalliert und das wars.
hab lediglich nen product-key auf der unterseite des laptops aufgeklebt.
was tut man denn in so einem fall?

Alt 28.09.2009, 12:36   #15
Taubenmann
 
W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Standard

W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen



hmm, also der W32/Virut-Scan ist durch. Hab das Log auch gespeichert.
Nur darin kann man ja jetzt sämtliche Dateien von mir sehen. Mir ist ein bisschen mulmig dabei, das Log jetzt hier für alle ersichtbar in den Thread zu stellen. Gibts da keine andere Lösung?

Antwort

Themen zu W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen
adobe, agere systems, antivir, antivir guard, avg, avira, bho, browser, defender, desktop, dll, explorer, hijackthis, internet, internet explorer, jusched.exe, launch, local\temp, microsoft, nvidia, popup, programme, rundll, senden, software, sweetim, temp, toolbars, virus, vista, wmp



Ähnliche Themen: W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen


  1. Virut.gen gefunden und mit AntiVir behandelt
    Plagegeister aller Art und deren Bekämpfung - 24.09.2010 (6)
  2. Hijack This log bitte überprüfen
    Log-Analyse und Auswertung - 25.09.2009 (12)
  3. HIJACK log - bitte überprüfen!
    Mülltonne - 01.05.2009 (1)
  4. Bitte hijack Log überprüfen
    Mülltonne - 01.12.2008 (0)
  5. Bitte Hijack - Log überprüfen
    Mülltonne - 11.11.2008 (0)
  6. Hijack.Log bitte überprüfen
    Log-Analyse und Auswertung - 02.07.2008 (1)
  7. HiJack This Log- File BITTE ÜBERPRÜFEN... DANKE
    Log-Analyse und Auswertung - 29.01.2008 (0)
  8. Bitte HiJack Log überprüfen
    Alles rund um Windows - 08.10.2007 (2)
  9. Bitte mal den HiJack überprüfen
    Log-Analyse und Auswertung - 06.06.2007 (1)
  10. Bitte Hijack logfile überprüfen
    Log-Analyse und Auswertung - 26.02.2007 (32)
  11. Hilfe Bitte HiJack Log-File überprüfen
    Log-Analyse und Auswertung - 19.02.2007 (5)
  12. Bitte meinen HiJack Log File auch überprüfen.
    Mülltonne - 15.08.2006 (1)
  13. Kann jemand bitte mein HiJack Logfile überprüfen?
    Log-Analyse und Auswertung - 19.04.2006 (6)
  14. Bitte mal HiJack überprüfen!
    Log-Analyse und Auswertung - 13.01.2006 (31)
  15. Hijack Log Bitte überprüfen
    Log-Analyse und Auswertung - 03.07.2005 (1)
  16. hijack - Log - bitte überprüfen
    Log-Analyse und Auswertung - 23.02.2005 (1)
  17. Hijack Logfile bitte überprüfen
    Log-Analyse und Auswertung - 11.10.2004 (2)

Zum Thema W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen - Hallo! Mein AntiVir findet seit gestern immer den Virus "W32/Virut.Gen". Seit heute morgen kommen ununterbrochen Meldungen über Funde. Dieser "Virus" findet sich jedoch nicht nur in einer Datei, sehr viele - W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen...
Archiv
Du betrachtest: W32/Virut.Gen gefunden, bitte HiJack-Log überprüfen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.