Virus

    • Virus

      Ein PC hat sich mit einem Virus infiziert, gute gelegenheit um die Windowsinstallation durchzuführen, dachte ich. Natürlich setzte ich diverse Dokumente und Dateien sicher per Stick, aber natürlich im Kopf, dass diese Stick dann mitinfiziert ist. Die neue WinXP SP3 installation hat gleich Avast installiert bekommen und mit sicheren Gedanken hab ich mal den Stick eingesteckt und es gab ne Meldung x:/Autorun.inf, geblockt und kopiert.
      Leider merkte ich, dass sich doch irgendwas reingeschlichen hat, denn microsoft.com, avast.de und diverse andere Anti-Viren seiten sich nicht abrufbar.
      Avast ist aktiv und findet bei kompletter durchsuchung infizierte Dateien.

      Ich überleg mir, ob ich einfach nochmal alles lösche, aber diesmal den Stick mit meinem Dateien auf Ubuntu zwischenspeicher und dort den Stick reinige...
      Aber vielleicht hat jemand ne bessere Idee?

      Quellcode

      1. Logfile of Trend Micro HijackThis v2.0.4
      2. Scan saved at 23:54:06, on 23.04.2011
      3. Platform: Windows XP SP3 (WinNT 5.01.2600)
      4. MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
      5. Boot mode: Normal
      7. Running processes:
      8. C:\WINDOWS\System32\smss.exe
      9. C:\WINDOWS\system32\winlogon.exe
      10. C:\WINDOWS\system32\services.exe
      11. C:\WINDOWS\system32\lsass.exe
      12. C:\WINDOWS\system32\svchost.exe
      13. C:\WINDOWS\System32\svchost.exe
      14. C:\Programme\AVAST Software\Avast\AvastSvc.exe
      15. C:\WINDOWS\Explorer.EXE
      16. C:\WINDOWS\system32\RUNDLL32.EXE
      17. C:\WINDOWS\system32\RunDll32.exe
      18. C:\Programme\AVAST Software\Avast\avastUI.exe
      19. C:\WINDOWS\system32\ctfmon.exe
      20. C:\Programme\DAEMON Tools Lite\DTLite.exe
      21. C:\WINDOWS\system32\spoolsv.exe
      22. C:\WINDOWS\system32\nvsvc32.exe
      23. C:\Programme\Mozilla Firefox\firefox.exe
      24. C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
      25. C:\Programme\Mozilla Firefox\plugin-container.exe
      26. C:\WINDOWS\system32\NOTEPAD.EXE
      27. C:\Dokumente und Einstellungen\Anna-Katharina\Eigene Dateien\Downloads\HiJackThis204.exe
      29. O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      30. O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
      31. O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
      32. O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      33. O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      34. O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      35. O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
      36. O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
      37. O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
      38. O4 - HKLM\..\Run: [avast] "C:\Programme\AVAST Software\Avast\avastUI.exe" /nogui
      39. O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      40. O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
      41. O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
      42. O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
      43. O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      44. O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      45. O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105
      46. O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
      47. O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
      48. O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
      49. O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
      50. O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
      51. O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      52. O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      53. O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
      54. O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
      55. O17 - HKLM\System\CCS\Services\Tcpip\..\{69D5B4CA-5BDD-4F07-BFD6-D8F012D69FBA}: NameServer = 212.23.97.2 212.23.97.3
      56. O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
      57. O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
      58. O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
      59. O23 - Service: avast! Antivirus - AVAST Software - C:\Programme\AVAST Software\Avast\AvastSvc.exe
      60. O23 - Service: KMService - Unknown owner - C:\WINDOWS\system32\srvany.exe
      61. O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      63. --
      64. End of file - 4643 bytes
      Alles anzeigen
      Hier könnte Ihre Werbung stehen.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von hunkarcelebi ()

    • Die Idee mit Ubuntu ist nicht schlecht, ich gehe mal davon aus das dein Ubuntu System auch nen aktuellen Virenscanner drauf hat? Ansonsten wäre auch eine Live-Linux Boot CD eine Variante (kriegst du kostenlos von jeder Linux Distribution). Einfach von der starten, schnell nen aktuellen Virenscanner installieren, und über den Stick lassen.

      Hätte den Vorteil das das Risiko, ein anderes System anzustecken (auch wenn es bei Linux eh unwahrscheinlich ist) dann ausgeschlossen ist. Ob dann sichergestellt ist das der Stick dann aber wirklich virenfrei ist kann ich aber auch nicht garantieren.


      Sry das ich dir in der Hinsicht keinen besseren Ratschlag geben kann, aber Versuch mal ins Forum bei www.nickles.de zu posten, die haben mich bei meinen Computerproblemen immer sehr gut beraten :)
      Hartnäckiger Verweigerer der neuesten Windows-Versionen ;)

    • Am besten ist es hier die wichtigen Daten auf Ubuntu zu speichern, aber alle einzeln zu selektieren. Danach den USB-Stick (auf Ubuntu) formatieren.
      Die meisten Viren die sich in USB-Geräten einnisten bearbeiten die Autorun.inf und legen sich dann versteckt ab, infizieren aber keine bestehenden Dateien.

      EDIT:
      grad mal das Log gelesen. IE6 ist schonmal eine ganz große Lücke. Ich würde in jedem Fall raten den IE8 zu installieren. Algemein die Windows-Updates seit SP3 sollten installiert werden.
      Ansonsten finde ich da eigentlich nichts bekanntes, das nach einem Virus aussieht.