DRINGEND Bitte bitte helft mir..

  • geschlossen
  • Frage

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • DRINGEND Bitte bitte helft mir..

    DRINGEND !!!!


    Hallo ihr lieben ich habe heute 23:00 Uhr von meinem Virusprogramm eine Meldung bekommen das ich auf meinem Pc diesen Virus habe..

    TR/VUNDO.GEN
    W32/VIRUT.GEN

    Kann mir vielleicht jemand sagen was das ist..??? Ich habe schon meine Festplatte gelöscht und alles neu druff gemacht aber ich bekomme immer und immer wieder diese Meldung...

    Bitte helft mir ich bin ohne meinen Pc ziemmlich aufgeschmießen weil ich ihn
    auch zum Arbeiten brauche...

    Ihr seit meine LETZTE RETTUNG!!!!!
    [SIZE="2"]
    [COLOR="DeepSkyBlue"]Spiele Junkieeeeee...[/color][/SIZE]


    [SIZE="2"]Rulez Akzeptiert!!![/SIZE]

  • Enqelchen100 schrieb:

    DRINGEND !!!!

    TR/VUNDO.GEN
    W32/VIRUT.GEN

    Kann mir vielleicht jemand sagen was das ist..??? Ich habe schon meine Festplatte gelöscht und alles neu druff gemacht aber ich bekomme immer und immer wieder diese Meldung...
    [/SIZE][/COLOR][/U]



    Also erstmal welche Festplatte hast Du denn gelöscht?
    Wenn Du Format C gemacht hast,dann ist normal auch der Trojaner Vundo weg.Wenn Du andere Festplatten gelöscht hast,dann war das total unnötig.:rolleyes:

    Also zuerstmal solltest Du in die Systemsteuerung---System gehen und dort die Systemwiederherstellung auf allen Laufwerken Deaktivieren.
    Dann machst Du erstmal einen Neustart.

    So jetzt lädst Du Dir das tool Vundo Fix Remover runter.Hier zu bekommen.
    VundoFix by Atribune

    Das speicherst Du auf dem Desktopund führst es aus.Zuerst Scan for Vundo und dann Fix Vundo.

    Nun wieder einen Neustart und dann startest Du das ganze nochmal.
    Nur um zu sehen ob noch was da ist.

    Dann zum zweiten.
    Das ist nicht weiter schlimm und jeder anständige Virenscanner sollte diese Infizierte Datei,problemlos löschen können.
    Was für ein Antivirus Programm hast Du?

    Installiere Dir AV oder Kaspersky Antivirus und scanne Deinen PC.Dann sollte auch der Virus weg sein.

    So um nun ganz sicher zu gehen,lädst Du Dir Hijackthis runter und machst einen scan.Das Logfile Postest Du hier.

    Hier Downzuloaden.HijackThis Logfileauswertung
    Rechts oben ist der Downloadlink von Hijackthis.

    Dann solltest Du Dir Spybot Search&destroy Installieren oder Ad-Aware.
    Wobei ich Spybot besser finde.

    Hier der Downloadlink.Die Seite von Spybot-S&D!

    Zum Abschluss solltest Du Dir mal das hier gut Durchlesen.
    freesoft-board.to/f389/virenen…und-entfernen-173018.html


    Greetz Firecat
    [COLOR="Blue"][SIZE="3"]Das Problem ist nicht der Computer,das Problem sitzt davor.[/SIZE][/color]

  • Hallo Firecat erst einmal danke für deine Hilfe ich glaube ich wäre alleine verzweifelt.

    Also ich habe meine Festplatte komplett gelöscht.Naja ich denke doch mal.Also ich hab die CD eingelegt beim Starten F11 gedrückt von Cd gestartet. Betriebs. gelöscht und neu drauf gemacht. Ich dachte immer das das auch reicht..=(

    Ich habe Antivire als Virusprogramm. Und er zeigt es mir immer noch ca.100x in 5 minuten an..=(

    Ich kann auch auf meinem Pc nichts mehr installieren,ob Java oder Firefox oder sonstiges er bricht alles sofort ab und zeigt mir direkt die Meldung von Antivire..


    Hier ist mein Logfile..Ich hoffe du kannst mir helfen..

    Logfile of HijackThis v1.99.1
    Scan saved at 09:59:23, on 02.05.2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\mrofinu1001186.exe
    C:\WINDOWS\System32\msmsgs.exe
    C:\WINDOWS\System32\iqxwnqr32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\rundll32.exe
    C:\Programme\Alice\Signup\AliceCnn.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\17PHolmes1001186.exe
    C:\WINDOWS\System32\wpabaln.exe
    \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
    C:\Dokumente und Einstellungen\Enqelchen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Ezine Articles For Free Reprints and Publication
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ALICE - Willkommen
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ALICE - Willkommen
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
    O4 - HKLM\..\Run: [Microsoft Oftice] C:\WINDOWS\System32\msmsgs.exe
    O4 - HKLM\..\Run: [Network Host Service] iqxwnqr32.exe
    O4 - HKLM\..\RunServices: [Network Host Service] iqxwnqr32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Microsoft Oftice] C:\WINDOWS\System32\msmsgs.exe
    O4 - HKCU\..\Run: [Microsoft Windows Driver] C:\WINDOWS\rundll32.exe
    O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{80CBD061-DC8F-499F-9E03-AB628ECD3FDF}: NameServer = 213.191.74.11 213.191.92.82
    [SIZE="2"]
    [COLOR="DeepSkyBlue"]Spiele Junkieeeeee...[/color][/SIZE]


    [SIZE="2"]Rulez Akzeptiert!!![/SIZE]

  • Ist Av auf dem neusten Stand?

    Starte den PC im Abgesicherten Modus.Beim Booten F8 drücken.
    Dann starte Antivir und scanne den PC.
    Lass alles löschen von AV.

    Dann starte Hijackthis.Fixe alle Einträge hier.



    O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661 AA4EBD86D67C56389B284534F310

    O4 - HKLM\..\Run: [Microsoft Oftice] C:\WINDOWS\System32\msmsgs.exe

    O4 - HKCU\..\Run: [Microsoft Windows Driver] C:\WINDOWS\rundll32.exe



    Hast Du den Vundo Trojaner wegbekommen?

    Dann hast Du Spybot Installiert?

    Lasse dann Spybot den PC scannen.

    Systemwiederherstellung Deaktiviert.?

    Dann überprüfe folgende Prozesse.

    C:\WINDOWS\mrofinu1001186.exe

    C:\WINDOWS\rundll32.exe

    Lösche diese zwei exen im Abgesicherten Modus.




    Greetz
    [COLOR="Blue"][SIZE="3"]Das Problem ist nicht der Computer,das Problem sitzt davor.[/SIZE][/color]

  • Hallo Firecat..

    Sry das ich erst jetzt antworte aber ich konnte nicht mehr ins Internet..
    AV ist auf dem Neustes Stand.

    LOGFILE:
    Logfile of HijackThis v1.99.1
    Scan saved at 15:10:17, on 03.05.2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\antiv.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Dokumente und Einstellungen\Enqelchen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ALICE - Willkommen
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ALICE - Willkommen
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ALICE - Willkommen
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Microsoft DLL Verifier] cms.exe
    O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
    O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
    O4 - HKLM\..\Run: [Microsoft Anivirus Monitor Process] antiv.exe
    O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
    O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] cms.exe
    O4 - HKLM\..\RunServices: [Microsoft Anivirus Monitor Process] antiv.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload.macromedia.com/pub/…ve/cabs/flash/swflash.cab



    Ich weiß nicht ob er weg ist da ich immer noch eine Meldung bekomme.Wenn ich etwas installieren will dann sagt er mir:

    Systemwiederherstullung ist deaktivirt.

    Die datein habe ich gelöscht.


    Nun bekomme ich auch jedesmal dieses Fenster:
    i32.tinypic.com/27z9m6d.jpg

    Ich weiß nicht mehr weiter...:confused: :confused: :confused:
    [SIZE="2"]
    [COLOR="DeepSkyBlue"]Spiele Junkieeeeee...[/color][/SIZE]


    [SIZE="2"]Rulez Akzeptiert!!![/SIZE]

  • Puuhh jetzt hast Du einen Wurm mit Backdoor funktion. LINKBOT.M WORM

    O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe

    O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661 AA4EBD86D67C56389B284534F310

    O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

    Da hilft fasst nichts mehr.Zumindest nicht AV.Gelesen hab ich das Norton den LINKBOT.M WORM killen kann.Aber irgendwas ist bei Dir faul.
    Entweder Du bist nach der Neuinstallation,gleich wieder in ein Virennest reingestolpert,oder es war noch was auf der Festplatte.

    Wie hast Du denn Windows Neuinstalliert?
    Hast Du nur ein Update gemacht,oder Format C gemacht.Also alles gelöscht?

    Weil der Wurm müsste weg sein nach Format C.

    Hast Du das Service Pack 2 Installiert,gleich nach der Installation von XP?
    Mit was gehst Du ins Internet? Mit Windows Explorer?


    Ich rate Dir jetzt,mache nochmal Format C : aber bevor Du ins Internet gehst,Installiere zuerst AV oder Kaspersky,dann Installiere das Service Pack 2 und dann den Firefox als Explorer.
    Dazu noch für den Firefox das Addon Adblock Plus.
    Dann das Programm Spybot Search and Destroy.
    Imunisiere damit Deinen PC.Im Hauptprogramm von Spybot,kannst Du den PC Imunisieren.Zuerst aber ein Update der Definitionsdateien machen.

    Kaspersky Antivirus reicht völlig.Gibts hier im Board mit Aktivierung.

    Greetz
    [COLOR="Blue"][SIZE="3"]Das Problem ist nicht der Computer,das Problem sitzt davor.[/SIZE][/color]

  • Also ich kenn mich da jetzt ja nicht übermäßig aus, aber bei einer normalen Formatierung müsste doch eig. alles weg sein? Oder es hat im Arbeitsspeicher überdauert, was ich aber für unsinnig halte xD
    Ein paar Tausend sinnvolle Beiträge, nur damit ich mich endlich in der Spielhalle austoben darf :D

  • Ja deshalb frag ich ja.Hat er nur ein Update gemacht?Also XP Neuinstalliert ohne Format C, geht ja auch.Oder hat er alles gelöscht und dann Neuinstalliert.

    Wenn er Format C gemacht hat,dann kann es nur sein,das er auf einer anderen Festplatte oder Partition einen Trojaner sitzen hat.
    Oder er war so unvorsichtig und hat nach der Neuinstallation,kein SP2 draufgemacht und ohne AV im Netz gesurft.

    Was noch sein kann,das er seine Cookies und Favoriten irgendwo abgespeichert hat und nach der Neuinstallation,diese wieder in den Explorer Importiert hat.Dann natürlich die gewohnten Seiten angesurft und er fängt sich gleich wieder was ein.

    Also irgendwo hängt da der Wurm drinn in der Sache.



    Greetz
    [COLOR="Blue"][SIZE="3"]Das Problem ist nicht der Computer,das Problem sitzt davor.[/SIZE][/color]

  • man beachte
    "C:\WINDOWS\Explorer.EXE" (exe in großbuchstaben) und "C:\WINDOWS\System32\antiv.exe" (hab auch antivir installiert und diese datei nicht in dem ordner)

    schonmal eine neuinstallation ohne lan verbindung/internet probiert? firewall und virenscanner ebenfalls installieren. ansonsten sind vllt installdateien infiziert falls diese auf einer anderen partition liegen und diese nicht formatiert ist?

  • Dark Blizzard schrieb:

    Oder es hat im Arbeitsspeicher überdauert, was ich aber für unsinnig halte xD

    Der Arbeitsspeicher wird nach Abschalten des PCs komplett gelöscht, eine Neuinstallation kann er nicht überstehen!

    man beachte
    "C:\WINDOWS\Explorer.EXE" (exe in großbuchstaben)

    Die Explorer.EXE ist OK! Auch mit Grossbuchstaben!

    W32/VIRUT.GEN

    Dieser Virus infiziert alle .exe Dateien, Setze dein Sys neu auf und sichere keine Daten! (jedenfalls keine ausführbaren)
    Das wurde auch die Fehlermeldung von Antivir erklären!

    Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können:

    .asf .com .exe .html .js .mde .nws .reg .url .ws
    .bas .cpl .folder .inf .jse .msc .pdf .scf .vb .wsc
    .bat .crt .hlp .ins .jsp .msi .pif .scr .vbe .wsf
    .chm .doc .hta .isp .lnk .msp .pl .sct .vbs .wsh
    .cmd .eml .htm .jar .mdb .mst .ppt .shs .vcd .xl*

    Quelle


    Mfg

  • Naja, ich mein ja auch nur, wenn er nen Warmstart gemacht hat. Dann wird der AS nicht gelöscht....xD

    MfG

    Dark Blizzard

    PS: Sry wegen eventuellen Rechtschreibfehlern, bin grad am PPC
    Ein paar Tausend sinnvolle Beiträge, nur damit ich mich endlich in der Spielhalle austoben darf :D

  • Dark Blizzard schrieb:

    Naja, ich mein ja auch nur, wenn er nen Warmstart gemacht hat.

    Ein "Warmstart" ist laut Wikipedia dasselbe wie ein Neustart (Reboot):
    Unter einem Neustart (auch Reboot oder Restart) eines Computersystems versteht man das erneute Hochfahren (Booten) des Computers, wenn dieser bereits eingeschaltet ist. Ein Neustart wird auch Warmstart genannt.

    Der einzige Unterschied:
    Beim Warmstart wird der Neustart durch die Software (z. B. das Betriebssystem) ausgelöst: unter DOS mit der Tastenkombination Strg+Alt+Entf (Affengriff), unter Windows z. B. durch Auswahl der Option Neu starten beim Herunterfahren des Systems, auf manchen Macs mit Strg+Apfel+Power. Der PC führt bei diesem Neustart nur eine verkürzte Boot-Prozedur durch.

    Der Arbeitsspeicher kann auch diese "verkürzte Boot-Prozedur" nicht überstehen!

    Mfg

  • @ Ineedhelp!2nd

    Ich würds zwar nicht beschwören, aber soweit ich weiß, wird der AS nur dann gelöscht, wenn kein Strom mehr zugeführt wird, aber auch dann hält der Speicher noch 10 Sec. Und bei einem Warmstart wird die stromzufuhr nicht gekappt;)

    MfG

    Dark Blizzard
    Ein paar Tausend sinnvolle Beiträge, nur damit ich mich endlich in der Spielhalle austoben darf :D

  • Dark Blizzard schrieb:

    Ich würds zwar nicht beschwören, aber soweit ich weiß, wird der AS nur dann gelöscht, wenn kein Strom mehr zugeführt wird, aber auch dann hält der Speicher noch 10 Sec.

    Dann würdest du dir aber in deiner eigenen Aussage widersprechen:
    Würde der Arbeitsspeicher wirklich noch 10 sec nach Ausschalten/StromAus weiterleben, könnte man doch theoretisch den PC innerhalb dieser 10 sec nochmal starten und der Arbeitsspeicher wäre noch so, wie man ihn zurückgelassen hat, im System geladen!

    Beim Ausschalten des PC werden ja nach und nach die Prozesse und Module (dll's) aus dem Speicher "geworfen"!
    Das heisst, ein Warmstart kann nur auf Befehl vom Benutzer oder aufgrund einer Software, die gewisse Module schon vor dem OS geladen haben muss, verursacht werden. Dann würde deine Aussage stimmen, doch ich denke nicht, dass Enqelchen100 irgendeine Software (oder Virus) hat, die den "normalen" Neustart deaktiviert und somit jedesmal einen Warmstart erzwingt!

    Ein Warmstart gibt es nur dann, wenn man zB gerade etw. systemkritisches (zB ein Programm das einen Reboot erfordert und die Prozesse vor dem OS lädt) installiert hat.
    In diesem Falle würde der Arbeitsspeicher (zumindest die programmänhängigen Module) überleben, um dann, vor den Laden des OS, die relevanten Einträge/Änderungen zu tätigen!

    Mfg

  • Naja, wie gesagt, ich hab da anderes gehört (zum Beispiel wurde mit der Warmstartmethode die BitLocker-verschlüsselung von Vista geknackt), aber ich legs hier nicht auf nen Streit an :D


    Man sieht sich


    Dark Blizzard
    Ein paar Tausend sinnvolle Beiträge, nur damit ich mich endlich in der Spielhalle austoben darf :D