Virus Hilfe

[Lore]

Ja ich weiss, dass es im Technik Forum wohl besser aufgehoben wäre, aber ich brauch wirklich dringend und vorallem schnell Hilfe.

Hatte nen USB Stick vonnem Kollegen grade eingelegt um ihm Daten von mir draufzuschieben nun bastelt mir mein Rechner in jedem Browser ominöse Redirects in die Adresseingabe bei Klicken von Links (also wenn ich es nicht manuell eingebe - aber auch dabei manchmal).

z.B.:
http://greatfeedmill.com/?do=rphp&s...cht&orig=http%3A//starcraft2.ingame.de/forum/


Desweiteren kann ich weder den Windows Defender upgraden (lässt er nicht mehr zu mein Rechner) noch kann ich Anti Vir installieren, weil das Setup nicht mehr aufgeht etc.

Was kann man unter Vista machen wenn scheinbar die 32Bit Benutzer Ebene für Anwendungen gefickt wurde - der Zugriff aufs Netz vom "Virus" / "Malware" kontrolliert wird?

Gibts da Online Lösungen?
Ich kann leider nicht googlen, da ich ständig redirected werde...

HELP PLEASE

 

[parats']

Gibt Online Scans von TrendMicro. http://housecall.trendmicro.com/de/
HJT kannste auch ausführen, oder?

 

[gnubbb]

probiers mal hier

http://housecall.trendmicro.com/de/

edit: para war schneller 8[

 

[parats']

Tja Gnubbi.

 

[The One 23]

Ich empfehle: format c:

 

[Lore]

TrendMicro Scan läuft grade. HiJackThis kann ich nicht ausführen parats...

Mir wird grade richtig schlecht.

 

[parats']

Keine Fehlermeldung oder so?
Welches OS hast du denn?
Allgemein hat The One aber recht, sorry.

 

[DaGGrrr]

gibts unter Vista nen abgesicherten Modus? Wenn ja den mal starten und versuchen Hijack THis oder AVG auzuführen

 

[Lore]

Hab mich grad unter anderem Benutzer in Vista angemeldet - jetzt läuft erstmal der Browser wieder. (Noch)

Als Fehlermeldung beim Ausführen vom AVG Setup bekomm ich im CMD Window (Program file too big to load in memory) lol?

Trend Micro Scan lässt sich unterm "verseuchten" Benutzer im Übrigen nicht ausführen.

Edit: Also selbes Problem unter dem anderen Nutzer.

Jede Applikation wird mit oben genanntem Fehler im CMD Fenster abgewürgt. Das CMD Fenster ist dabei vielleicht ne halbe Sekunde sichtbar.

 

[parats']

Dann probiere es unter dem neuen. Da sich offensichtlich was in deinem Benutzerpfil befindet und die lokalen Daten unter C:\ gescannt werden sollte er was finden.

 

[EasyRider]

hijackthis.exe in bla.com ändern und starten.

ansonsten empfehle ich den gang zu:
http://www.trojaner-board.de

 

[Lore]

Befinde mich jetzt im abgesicherten Modus.
Scheinbar wird dieses temporäre Datei System von Vista grade zerhunzt.

Zugriff auf's Internet ist auch im abgesicherten Modus gefickt.

Ich kann z.B. nicht auf abload.de hochladen - musste über den FTP auf meinen Webspace.

Folgender Fehler beim Ausführen des AVG Setups:

http://lore.pytalhost.com/fehler.jpg

Geht das Pic bei euch auch nicht? ;/ Gott dann kann ich nichtmal über FTP was uploaden..

 

[Scorn4]

Hm doch geht

Im Abgesicherten Modus HijackThis.

 

[NetReaper]

Das hier bestellen:
https://www.heise.de/kiosk/special/ct/09/06/

bekommst du sicher auch gerippt, wenn es übelst dringend ist. Aber das Heft lohnt.

 

[Lore]

Wenn ich im abgesicherten Modus HJT ausführen will macht er den Scan bis geschätzte 30% und bricht dann ab ohne jede Fehlermeldung.

Selbiges gilt für das Installieren von AVG dass ich im Roaming Ordner suche und von da installieren will.

Er entpackt von da die temporären Install Dateien und bricht die Installation bei ca. 30% ab.

 

[The One 23]

NetReaper du armer Irrer, was schreibst du da?

Für dich: OgerLore hat _aktuell_ ein eher dringendes und drängendes Problem.
Das Problem ist ein Virus. Was nützt es OgerLore, wenn er jetzt gemütlich ein Heft bestellt, dass sich im Vorfeld (bevor man sich einen Virus einfängt) der aktuellen Problematik beschäftigt?

 

[Lore]

Gib mir mal schnell jemand ne Hilfestellung + Download Möglichkeit für ne Knoppicilin ISO.

Wie gesagt - googlen ist nicht wirklich mit permanentem redirecten.

 

[parats']

Legal kriegste imo kein Knoppicilin, gibt da irgendwelche Probleme mit den Lizenzen.
Tauschenbörsen müsste man dann durchsuchen.

 

[NetReaper]

@OlgerLore PM

 

[NocturntehSex]

http://www.heise.de/software/download/knoppicillin_download_edition/37894

ist doch knoppicilin oder vertu ich mich grad?

 

[parats']

Oh, hat sich wohl was geändert.

 

[aMrio]

mal so am rande: wenn man nen trojaner draufhat sollte man evtl. nicht irgendwelche ftp zugänge zu irgendwelchen webspaces nutzen. was machst du morgen, kaufst online nen virenscanner?

 

[Lore]

Um gegen keine Lizenzen zu verstossen und evtl. "Wareztauscherei"-Schreien vorzubeugen - ich downloade grade eine Kaspersky Rescue Boot CD und kein Knopicillin.

Mal gespannt ob das was wird...
Meine letzte Virus-Orgie liegt schon Jahre zurück.

Edit:
Der Gedanke kam mir bereits selbst aMrio, und das PW changen ist das erste was ich tue, sobald mein System wieder clean ist.

 

[Schico]

was sagt eigentlich dein kumpel von dem du das ding augenscheinlich hast zu der sache?

 

[NocturntehSex]

dem würd ich mal sowas von auf die fresse hauen, alter

 

[NetReaper]

dem würd ich mal sowas von auf die fresse hauen, alter

Stimmt, wenn der Virus DAS mitkriegt!

@OgerLore

Das Heft würde ich mir aber trotzdem mal holen, ist nicht verkehrt sowas immer mal in der Hinterhand zu haben. Und wenn du jemanden an der Hand hast, der dir sowas auf ne DVD brennt bzw. kopierst - ist in dem Falle glaube ich nicht so tragisch, wenn du dir das kaufst und wiederum weiterempfiehlst.

 

[parats']

Haben die CD sonst auch in der Firma. Soll ich Dir ne Kopie erstellen für die Zukunft?
Akut bringt es dir aber natürlich nichts.
Wie ist btw so der Status?

 

[Lore]

Guten Morgen.

Die Kaspersky Rescue CD rattert atm noch durch's System.
Ist ne schicke Sache übrigens so ein Linux Rettungs Boot System.

Läuft nun fast 9h und ist bei ~30% System Test.

Malware hab ich auch schon gefunden. Sitzt in wirklich JEDER *.exe datei meines Systems.

 

[DaGGrrr]

was sagt eigentlich dein kumpel von dem du das ding augenscheinlich hast zu der sache?

würde den Stick ohne Kommentar zurückgeben und hoffen dass er ihn auch anstöpelst. scheint ja n richtig fieses Ding zu sein Lore :/

 

[Lore]

Sowas hatte ich das letzte mal unter Win95 glaub ich.

Hiess damals WinCH das Teil und sass auch in jeder *.exe Datei.
Das sowas aber zu Vista Zeiten auch noch passiert.

Win32.Virut.ce ist es diesmal. Ziemliches Arschlochteil:

W32/Virut.CE is a polymorphic, appending, cavity and encrypted file infector that targets Win32 EXE/SCR, HTM, ASP and PHP files.


# It may create the following event to avoid multiple instances running on the infected system:

* Vx_5

# It injects its core routines to the winlogon.exe process via the CreateRemoteThread API.

# It creates the following registry entry in order to bypass the Windows Firewall:

* key: LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
* value: \??\%System%\winlogon.exe
* data: "\??\%System%\winlogon.exe:*:enabled:@shell32.dll,-1"

# It hooks the following NTDLL APIs to trigger its infection routine:

* CreateFile
* CreateProcess
* CreateProcessEx
* OpenFile
* QueryInformationProcess

# It disables Windows File Protection (or System File Checker) which can be found in SFC.DLL or SFC_OS.DLL. This allows the virus to infect files that are system-protected.

# It avoids infecting files that have filenames starting with the following strings:

* OTSP
* WC32
* WCUN
* WINC

# It creates the following registry entry that contains the future server address:

* key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
* value: UpdateHost
* data: "{binary value}"


Win32 Infection

# It attains polymorphism by inserting a random number of garbage instructions and by using a spaghetti-like coding style.

# It inhibits the following types of infections:

* Type 1 - EPO, appending, and multi-layer encryption (contains a decoder stub as cavity)
* Type 2 - Non-EPO, appending, and multi-layer encryption (contains a decoder stub as cavity)
* Type 3 - EPO, appending, and single-layer encryption
* Type 4 - Non-EPO, appending, and single-layer encryption
* Type 5 - Damaged (no jump going to virus code)


Webpage Infection

# For the following files, it infects them by searching for the </BODY> tag, before injecting a malicious IFRAME tag:

* HTM
* PHP
* ASP

# The malicious IFRAME tag redirects the browser of the infected machine to the following addresses:

* http://www.zi[Removed].pl
* http://pro[Removed].pl
* http://www.tEe[Removed].com
* http://j[Removed].pl


HOSTS File Modification

# It modifies the file %System%\drivers\etc\HOSTS to insert one of the following entries:

* 127.0.0.1 Zi[Removed].pl
* 127.0.0.1 j[Removed].pl
* 127.0.0.1 pro[Removed].pl
* 127.0.0.1 tEe[Removed].com


IRC Backdoor

# It connects to a remote IRC server by using an 8-CHAR random NICK and a 1-CHAR random USER to download other malwares or an updated Virut version from one of the following remote IRC servers:

* zi[Removed].pl
* pro[Removed].pl
* tEe[Removed].com
* j[Removed].pl

 

[Shihatsu]

soso, du weisst das der im technikforum besser aufgehoben wäre - da schau her, da hätten dir genau dieselben leute geholfen

 

[Lore]

Natürlich hast du Recht Shi. Ich möchte jedoch anfügen, dass die grössere Aufmerksamkeit wohl dem Com geleistet wird, und ich somit auch im Com eine schnellere Hilfestellung bekam.

Für einen eventuellen Verstoss irgendwelcher Paradigmen entschuldige ich mich natürlich.

In diesem Sinne erstmal Danke an alle.

 

[Lore]

Ich suche auf diesem Wege noch vertrauensvoll:

-einen kompetenten Registry Cleaner



Ich trau dem Frieden nicht wirklich und meine Recherche im Internet ergibt auch, dass dieses Virut Ding ne harte Nuss ist. Hab die Befürchtung, dass das Bereinigen mit der Live CD alleine nicht reicht.

 

[Sodom&Gomorrha]

Crap Cleaner.
Aber egal welches Tool du für die Registrierung verwendest, solltest du die Liste, welche CCleaner nach der Analyse vor dem nächsten Arbeitsschritt anzeigt, wenigstens vorher mal überfliegen.

Wundert mich übrigens, dass das so einfach klappt. Hat da die UAC versagt oder arbeitest du normal als Administrator, sprich Benutzerkontensteuerung ausgeschaltet und volle Rechte gesetzt?

 

[Lore]

Hatte die Benuzerkontensteuerung genau 5min. an damals, als ich Vista installierte. Seitdem Zeitpunkt dann deaktiviert weil mich das x-fache Nachfragen "Sind sicher ja/nein" -> "Sind sie sich wirklich sicher ja/nein" total angenervt hat.

Zu meiner eigenen Schande muss ich aber eingestehn, dass ich keine wirklich aktuellen Virusdefinitionen in meinem AVG hatte.
Der USB Stick des Kollegen kam mit einer *.exe, die normalerweise Stick Treiber Daten beim Einstöpseln installiert.
Diese exe ist wohl kompromittiert und hat meinen kompletten Rechner lahmgelegt.

Das Ding ist echt ein Höllenteil :/

Wenn ich nun aber (was ich im moment ja tue), mit der Kaspersky Rescue CD, die ein Linux Live System bootet, alle kompromittierten / infizierten Dateien bereinigen kann, darf/kann/sollte ich davon ausgehen, dass mein System sauber ist?

Erster Schritt wird natürlich dann sein, einen wirklich aktuellen Virenscanner auf Vista zu installieren und neu zu checken.

Für einen Format hab ich wirklich keinen Nerv - desweiteren wäre es tödlich wenn ich keine *.exe und Archiv Dateien vor einem Format backupen könnte. Dies wird jedoch geraten beim Neuaufsetzn nach einem Virut Befall.

 

[NocturntehSex]

zieh alles was du sichern willst auf ne externe, formatier und installier einen aktuellen virenscanner etc und vergewisser dich, dass der virenscanner den genannten virus findet und ausschaltet, und dann schließ die externe wieder an. so ähnlich hab ichs letztens auch gemacht, klappt.

wenn der virus allerdings recht neu ist bzw recht exotisch, wirds eng. dann musst du nach nem virenscanner suchen der genau den wurm abschießt

viel erfolg

 

[Lore]

Ich bin ja erstmal gespannt dann in der Mittagspause wie weit der Scan ist.

In 8h hatte das Teil knappe 30% geschafft :/

 

[parats']

Wenn der Scan durch ist und du alle infizierten Dateien gelöscht hast, solltest du noch eine Reparaturinstallation von Vista machen. Schließlich ist nicht auszuschließen, dass sich auch dort der Virus eingenistet hat und dementsprechend die Dateien gelöscht worden sind.

 

[Lore]

Mahlzeit.

Frage:

Laufen Viren auf unterschiedlichen Verteidigungssystemen unter unterschiedlichen Namen?
Die Kaspersky Live CD schaffte ganze 5% in den letzten 5Stunden, deswegen stoppte ich und startete jetzt mit einer BitDefender Live CD.

Während ich unter Kaspersky noch den "W32.Virut.ce" fand, finde ich jetzt unter BitDefender und Knoppix den "Win32.Virtob.Gen.12"

Ist das trotzdem ein und dieselbe Geschichte?

 

[luigi4]

Soweit ich weiß, kann der gleiche Virus verschiedene Namen haben.

Es scheint, dass sowohl W32.Virut.ce als auch Win32.Virtob.Gen.12 .exe Dateien befallen.
Ich habe aber keine Ahnung, ob das die gleiche Geschichte sein könnte.