Help! Wie krieg ich diesen Virus wieder los?

MatrixX · 9. Dezember 2008, 20:24

Hallo, ich brauche dringend eure Hilfe! :dreck:

Gestern wurde mein Windows XP-PC während dem Internetsurfen von einem Virus infiziert. Wie kriege ich den wieder los?
Das Problem ist, dass er immer wieder kommt, auch wenn AntiVir das Gefundene entfernt.
Ich traue mich nicht mehr online zu gehen, weil anscheinend dann durch den Virus weitere schädliche Dateien runtergeladen werden (sitze grad an andrem PC!)
Habe die Befürchtung, dass sich da auch was in der Registry eingenistet hat, kann man die Registry auch mit AntiVir säubern, oder braucht man da ein extra Programm???
Hat jemand Infos und Lösungen zum restlosen Entfernen über diese/n Virus/Viren?

(Ich möchte Windows NICHT neuinstallieren!)

Im folgenden meine herausgefundenen Infos über die infizerten Dateien/Ordner:

Virus-Infizierung am 8.12.08

Zuerst wurde während dem Internetsurfen folgende Virus-Datei erzeugt:
C:\windows\system32\a.exe

Ich habe diese gelöscht und dachte, damit sei das Problem gelöst, aber dann wurden nach etwas Surfen plötzlich folgende Ordner und Dateien erzeugt:

Vom Virus erstellte Ordner:

C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Google

Vom Virus erstellte Dateien:

C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Google\kjzna1562565.exe
C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Google\spcffwl.dll
C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Mozilla\purasi.exe
C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Adobe\mushimu.exe
C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Mp3tag\losi.exe

WICHTIG: HIER HABE ICH DIE DATEIEN + hijackthis.log MAL HOCHGELADEN IN EINER ZIP, vielleicht helfen sie euch bei der Analyse?!
http://www.sendspace.com/file/3obylj

Ab diesem Zeitpunkt treten diverse Symptome auf:
- Beim Surfen werden von alleine plötzlich alle Programme und Fenster geschlossen und der PC fährt runter.
- Ich kann z.B. nicht mehr Start-->Ausführen-->msconfig ausführen, das bricht mit Fehlermeldung ab, danach wieder automatisches Runterfahren des PCs.

Überprüfung der oben genannten Dateien mit Kaspersky Online Scanner (Kaspersky Online-Scanner) ergab folgende Ergebnisse:

Datei: kjzna1562565.exe = FraudTool.Win32.Delf.f
Datei: spcffwl.dll= Trojan.Win32.Inject.lak
Datei: purasi.exe = ???
Datei: mushimu.exe = ???
Datei: losi.exe = ???

Überprüfung der oben genannten Dateien mit Avira AntiVir (Virendefinitionen vom 9.12.08) ergab folgende Ergebnisse:

Datei: kjzna1562565.exe = Enthält Erkennungsmuster des SPR/FakeAlert.AQF-Programmes
Datei: spcffwl.dll= Enthält Erkennungsmuster des SPR/FakeAlert.AQF-Programmes
Datei: purasi.exe = ???
Datei: mushimu.exe = ???
Datei: losi.exe = ???

:thx:

Firecat · 9. Dezember 2008, 21:00

Also Du hast mit Deiner hochgeladenen Zip Datei von Hijackthis schon einen Virus mit eingepackt.
Wissentlich oder unwissentlich kann ich jetzt nicht sagen.
Entferne bitte den Link zu dem Download und Poste hier bitte das Log als textdatei.
Damit können Wir genauso viel damit anfangen.

Das ist ein Backdoor Programm,womit jemand kontrolle über Deinen PC erlangt.

not-a-virus:FraudTool.Win32.Delf.f

Backdoor.Win32.Delf.f - a-squared Malware Beschreibung

Greetz

snoppy1906 · 9. Dezember 2008, 21:09

@ Firecat

du hast dein gutes TUT vergessen zu erwähnen

freesoft-board.to/f389/info-vi…und-entfernen-173018.html

damit sollte es alles funktionieren und bitte alles im abgesicherten Modus

danach noch ein logfile,damit man es überprüfen kann

gruß snoppy:drum:

oh bei einem Backdoor Programm wirst du wohl nicht herum kommen zur neuinstallation

gehört zu botnetzwerken....

MatrixX · 9. Dezember 2008, 21:14

OK, HIER NOCH DAS HijackThis-LOG FILE:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:14:04, on 10.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme2\Systembereinigung\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Smax4] "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Google\kjzna1562565.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
--
End of file - 2448 bytes

elwiss · 9. Dezember 2008, 21:33

hast post...

elwiss

Fotoprinz · 9. Dezember 2008, 22:21

Hi,

ich glaube du hast das Logfile im abgesicherten Modus erstellt. Zur Auswertung ist das schlecht weil da verschiedene Prozesse noch nicht geladen sind. Zur Auswertung solltest du immer im normalen Modus ein Log erstellen

Gruß Fotoprinz

snoppy1906 · 10. Dezember 2008, 15:18

schaue hier

O4 - HKCU\..\Run: [Smax4] "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Google\kjz na1562565.exe"

ist immer noch vorhanden.

genauer weg ist:

HKEY Current User \ Software\Microsoft\Windows\CurrentVersion\Run

dort sitzt diese kjz na1562565.exe fest

und startet immer wieder mit.

also im abgesicherten Modus (f8) und säubern....auch alle systemwiederherstellungspunkte,sowie cache / Temp-Ordner
Browserverläufe und cookies

gruß snoppy:drum:

bitte nochmals ein ausführliches logfile:)

MatrixX · 14. Dezember 2008, 15:18

Firecat schrieb:

Also Du hast mit Deiner hochgeladenen Zip Datei von Hijackthis schon einen Virus mit eingepackt.
Wissentlich oder unwissentlich kann ich jetzt nicht sagen.
Entferne bitte den Link zu dem Download und Poste hier bitte das Log als textdatei.
Damit können Wir genauso viel damit anfangen.

Es ist schon logisch, dass ein antiviren-programm bei meiner zip anschlägt, weil ich ja schließlich die infizierten Dateien gepackt habe, damit ihr sie zur Analyse verwenden könnt!
KEINE ANGST, die Dateien können so alleine keinen Schaden anrichten, dazu müssten sie erst installiert werden und Prozesse erzeugen...
Man kann sie also problemlos mal zum Anschauen runterladen.

Fotoprinz schrieb:

Hi,

ich glaube du hast das Logfile im abgesicherten Modus erstellt. Zur Auswertung ist das schlecht weil da verschiedene Prozesse noch nicht geladen sind. Zur Auswertung solltest du immer im normalen Modus ein Log erstellen

Oh, das stimmt natürlich, ich werde nochmal ein Log-File im normalen Modus machen und einstellen. Hatte noch keine Zeit mich um den befallenen Rechner zu kümmern letzte Tage, berichte dann...

Teilen