Virut/GEn

Jan91 · 13.04.2009, 13:13

Hi, habe die letzten 2 Tage meinen Computer 3 mal neu aufgesetzt und installiert.
Immer wieder habe ich das Problem das nach wenigen Stunden Benutzzeit meines Computers der Virus W32/Virut.Gen auf meinem Rechner gefunden wird.
Habe SP3 und NET-Framework sowie Antivir vor dem Einloggen ins Internet installiert aber trotzdem isses immer wieder so...
was kann ich da tun?
Hab mal eine HJT-Datei zugefügt, vielleicht kann man da ja was finden.

Bitte um schnelle Hilfe >.<

Jan

Logdatei:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:17:39, on 13.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Internet Download Manager\IDMan.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Internet Download Manager\IEMonitor.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\WINDOWS\system32\w.exe
c:\program Files\ThunMail\testabd.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\afisicx.exe
C:\WINDOWS\system32\tdctxte.exe
C:\WINDOWS\system32\sopidkc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\TEMP\3855620408.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Dokumente und Einstellungen\Jan Sperrer\Eigene Dateien\Downloads\Programs\HiJackThis.exe
C:\Programme\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\WINDOWS\system32\dpcxool64.sys

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Programme\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [IDMan] C:\Programme\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Download aller Links mit IDM - C:\Programme\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV-Videoinhalt mit IDM - C:\Programme\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download mit IDM - C:\Programme\Internet Download Manager\IEExt.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: afisicx Service (afisicx) - Unknown owner - C:\WINDOWS\system32\afisicx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: sopidkc Service (sopidkc) - Unknown owner - C:\WINDOWS\system32\sopidkc.exe
O23 - Service: tdctxte Service (tdctxte) - Unknown owner - C:\WINDOWS\system32\tdctxte.exe

--
End of file - 5399 bytes

Schickl · 13.04.2009, 13:29

Die Setups der Programme die du installierst sind sauber?

Mfg Schickl

[EDIT]
Logfiel sieht sauber aus.
Bin aber kein Profi was das anbelangt

**Leonixx** · 13.04.2009, 14:00

Hallo,

welche Datei ist den infiziert mit Virut/Gen? Alle installierten Programme und Betriebssystem legal, wie schon Schickl angemerkt hat? Sollte es Virut/Gen sein, dann ist eine Desinfizierung sinnlos. Allerdings ist bei dir eine Schwachstelle, die immer wieder zum tragen kommt. Ich vermute eben eine nicht legale Version mit dem Schädling als Beigabe. Was auch noch zu prüfen ist, hast du den Router auf Werkseinstellungen zurückgestellt? Wäre auch möglich das der DNS Server umgeleitet wird und du dadurch immer wieder mit dem Schädling infiziert wirst.

Gruss

PolishStyler · 13.04.2009, 14:00

hi

also es sieht nicht sauber aus

C:\WINDOWS\system32\w.exe

c:\program Files\ThunMail\testabd.exe
C:\WINDOWS\system32\afisicx.exe

O23 - Service: afisicx Service (afisicx) - Unknown owner - C:\WINDOWS\system32\afisicx.exe

diese einträge fixen

mit fixed check

**Leonixx** · 13.04.2009, 14:23

Hi Feigling,

Virut läßt sich durch fixen nicht beseitigen. Was jetzt erstmal interessant ist, wie kommt es zu dieser Infzierung. Das Logfile ist eh nicht sauber und wenn er noch Combofix anwenden würde, dann bin ich mir sicher ist noch mehr Schrott auf dem System.

Gruss

PolishStyler · 13.04.2009, 14:47

hi

ok dann würdei ch vorschlagen das system nochmal komplett neuaufzusetzten wenn er es original besitzt.die wichtigsten dateien zu sichern wobei die gefahr ist das infizierte dateien übernommen werden könnten.
ansonsten siehsts schlecht aus mit der vollständigen desinfektion alles viren

Jan91 · 15.04.2009, 17:33

ok, hab das system komplett neu aufgesetzt.
Das Problem lag an meiner D: Festplatte, dort hat sich der Virus in das Volume Betriebssystem festgesetzt und nachdem der Virus sich automatisch auf alle .exe Dateien ausbreitet, hab ich den Datenträger formatiert, seit dem läuft wieder alles (in der Hinsicht).

Danke für Hilfe

Ps:

Ich besitze nur legale Software :P