Win32.Suji A+B befall.. neuer Virus ?!

#1 also nachdem ich vor ca 1 woche den Parite.B auf meinem PC hatte und mir die 10Seiten durchgelesen hab.. hab ich zum ersten mal Respekt vor Viren bekommen und hatte auch zum ersten Mal Angst um meine Datenbestände. So weit mir bekannt ist weisst mein PC keinerlei Merkmale mehr auf was den Parite betrifft. Jedoch wollte ich heute einen Bildschirmschoner von einer seriösen seite (style-xp) saugen und dann geschah es mein F-Prot hat direkt Alarm geschlagen das ich mir den Win32.Suji.A und B eingefangen habe..
dann bin ich alles durchgegangen wie beim Parite jedoch hatte ich immer noch das problem das ich 2 temp dateien nicht löschen kann...

habe jetzt vorhin nochmals in der regedit nachgeschaut im explorer verzeichnis und mir sind zwei einträge aufgefallen.. habe sie direkt gelöscht.

Falls das nichts hilft kann mir jemand bitte einen Tipp geben.. ich habe sämtliche hps abgeklappert aber nirgends diesen virus oder wurm gefunden!


MfG matze272



PS: ich habe das Problem immer noch das ich die 2temp dateien nicht löschen kann. Vielleicht kann mir jemand hiermit helfen:

Logfile of HijackThis v1.98.2
Scan saved at 10:59:48, on 14.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
E:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\rundll32.exe
E:\Programme\ICQLite\ICQLite.exe
D:\Programme\Logitech\Video\LogiTray.exe
D:\Programme\FSI\F-Prot\F-StopW.EXE
E:\Programme\D-Tools\daemon.exe
D:\Programme\FSI\F-Prot\F-Sched.exe
e:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\FSI\F-Prot\fpavupdm.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\LVComS.exe
D:\Programme\FSI\F-Prot\FP-Win.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Dokumente und Einstellungen\mathias\Desktop\HijackThis.exe

R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - D:\WINDOWS\System32\ATPART~1.DLL
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - D:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] e:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [F-StopW] D:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [FRISK FP-Scheduler] D:\Programme\FSI\F-Prot\F-Sched.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE3B6F5-76B1-476A-8CE3-81CEF2DD1E7A}: NameServer = 192.168.2.1



ich danke im vorraus!

MfG matze272

#2 Hallo,

du wirst immer wieder Probleme mit Malware haben, wenn du nicht unverzüglich dein System ausreichend patcht und altuell hältst.

Zitat

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken.
Dann die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Fixe diese Einträge:
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - D:\WINDOWS\System32\ATPART~1.DLL
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL

Wechsle in den abgesicherten Modus und arbeite folgende Punkte ab:

- Temporäre Files löschen:
C:\Dokumente und Einstellungen\*Benutername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutername*\Lokale Einstellungen\Temporary Internet Files
- mit mwav.exe scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
- neues Log-File posten

Du solltest weitere Sicherheitsmaßnahmen ergreifen:
- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
- NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

Ps.
Vermeide in Zukunft, daß du dir bei themexp.org irgendwelche Themes runterlädst, denn sie sind zum größten Teil mit Spyware.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 Fix:
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - D:\WINDOWS\System32\ATPART~1.DLL
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL


wegen der temp Datei, starte mal im abgesicherten Modus, und lösche sie da!
Update auf jeden Fall mal dein Windows !
Vorallem deinen IExplorer !
MFG
DAFRA

#4 so hab ersmal die oberen schritte alle gemacht und scheint ganz gut auszusehn hier die logfile:


Logfile of HijackThis v1.98.2
Scan saved at 20:13:55, on 14.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
E:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\rundll32.exe
E:\Programme\ICQLite\ICQLite.exe
D:\Programme\Logitech\Video\LogiTray.exe
D:\Programme\FSI\F-Prot\F-StopW.EXE
E:\Programme\D-Tools\daemon.exe
D:\Programme\FSI\F-Prot\F-Sched.exe
e:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\FSI\F-Prot\fpavupdm.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\LVComS.exe
D:\Dokumente und Einstellungen\mathias\Desktop\HijackThis.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\System32\wuauclt.exe

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - D:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] e:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [F-StopW] D:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [FRISK FP-Scheduler] D:\Programme\FSI\F-Prot\F-Sched.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE3B6F5-76B1-476A-8CE3-81CEF2DD1E7A}: NameServer = 192.168.2.1


und was sagt ihr dazu ?


bin jetzt dabei die updates alle zu saugen (xp nicht registriert..warum is kla)
also die ohne regis gehen!


MfG matze272

#5 sieht gut aus.
und immer regelmäßig winupdates ausführen.
gruß

#6 danke für die tipps.
Ein problem bleibt bestehen!
Ich werde diese Temp dateien nicht los!
D:\Dokumente und Einstellungen\mathias\Lokale Einstellungen\Temp

- ~DF4FBD.tmp 16kb
- ~DFDEE1.tmp 16kb
- ~DFDEEB.tmp 1kb

die sind zwar nicht sehr groß aber ich werde sie nicht los.. im abgesicherten modus sind sie nicht vorhanden.. und im normalen modus kann ich sie nicht löschen! In der regedit finde ich keien einträge mehr die an einen virus oder wurm erinnern und sonst sieht alles okay aus.

sind diese dateien überhaupt gefährlich bzw müssen sie gelöscht werden?!



MfG matze272

#7 Hallo @matze272
Lade TuneUp 2004 (30 Tage free) und reinige die Festplatte.
http://www.tuneup.de/download/
Du kannst das auch direkt unter c:\ und d:\ usw. machen.(Rechtsklick auf c:\<Eigenschaften...)
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#8 habe es mit diesem prog versucht jedoch sagt es mir das diese temp dateien keine gefahr darstellen... soll ich das jetzt glauben ?





also ich hab jetzt alles versucht und so langsam werde ich hier bekloppt.. wenn ich das mal so salob formulieren darf. Ich bekomme diese Dateien nicht weg und ich meine zu Wissen das sie nicht standart sind, daher nicht zu windows oder einem programm gehören was ich benutze!

Oder liege ich so falsch ?! Muss ich diese Dateien nicht löschen?! Ich bitte um Rat.. danke!

#9 Ist diese Partition Fat 32 oder NTFS ??
Wenn sie Fat ist, dann saug dir mal ne Dos/ Bootdiskette und lösch sie darüber !
MFG
DAFRA

#10 #In diesem Ordner kann alles , (ausser der Datei selbst) geloescht werden.
D:\Dokumente und Einstellungen\mathias\Lokale Einstellungen\Temp
#TuneUp kommentiert nicht, ob was <bad< ist, es loescht einfach alle Temporary-Files.
(bei der Festplattenbereinigung)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 habe es mit der bootdiskette gemacht! Konnte die dateien löschen!
aber siehe da ich starte windows und sie sind wieder da

Weiss irgendwer hier ob ich diese dateien überhaupt löschen muss ?!?

bzw. was sind das für tempdateien ?!?



..sonst ist ja soweit alles okay in sachen viren udn würmer.. habe nicht das gefühl das ich befallen bin.. ausser diese temp-dateien halt.


MfG matze272








EDIT:



^^ naja dann weiss wohl keiner mehr was man da noch machen kann...

trotzdem danke an alle die es versucht haben!


MfG matze272