CIH 1106 Virus, wie wird man den los?

#1 moin moin,

ich bin seit langem AntiVir nutzer. das prog hat aber nie was gefunden, deshalb hab ich avast mal getest und das fand prompt einen versteckten ordner "system volume information" mit drei von Win95:CIH-1106 infizierten dateien. avast kann sie allerdings weder löschen noch in den container verschieben.

wie werd ich das zeug nun wieder los?

lg konfusius

#2 bitte abarbeiten und logs posten:
http://board.protecus.de/t23188.htm

#3 vielen dank für die hilfe!

ich habe, hoffe ich, alles weitestgehnend so gemacht, also temporäre dateien, internetcache etc. alles glöscht und die scanner laufen lassen.

combofix: ComboFix 08-12-18.03 - xxx 2008-12-21 23:54:06.2 - NTFSx86
Microsoft Windows XP Home Edition xxxx [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\willy\Desktop\ComboFix.exe

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-21 23:55:03
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-21 23:55:50
ComboFix-quarantined-files.txt 2008-12-21 22:55:34
ComboFix2.txt 2008-12-20 15:46:36

Vor Suchlauf: 11 Verzeichnis(se), 14.350.204.928 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 14,341,816,320 Bytes frei

132 --- E O F --- 2008-12-18 17:00:37


hijackthis:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\All Users\Desktop\neuerordner3\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224439178171
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1224443870984
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

ausserdem stinger und fsblacklight. auch ohne ergebnis.

nocheinmal das problem:

ich habe, weil Antivir nie irgendwas fand bei mir, mal avast ausprobiert. avast hat bei 2 scans dieselben verdächtigen dateien gemeldet (3 stück.) ich habe leider nur eine davon (fast vollständig) notiert:

gemeldeter virus: WIN95: CIH-1106 in A0013280.exe in folgendem ordner:

C:\system volume information\-restore{B4A7F705-96C0-402E-9647-D28DD5E80269}\RP51\A0013280.exe\Files\initrd.img\... (ein bischen fehlt leider)

der fragliche ordner ist auch mit suchfunktion nicht zu finden. avast konnte die dateien nicht löschen (zugriff verweigert) und auch nicht in den container verschieben (container nicht geeignet für diese art von dateien).

nachdem combofix und hijackthis gelaufen sind (die ja anscheinend nix gefunden haben) habe ich noch einmal mit avast gescannt, um die pfade der anderen zwei dateien zu notieren. avast hat nun aber nur noch 2 dateien gefunden, mit dem selben virus CIH-1106, die aber nun plötzlich in einem unterverzeichnis von avast waren und sich auch löschen liessen.

was bedeutet das nun? selbst wenn das zwei von den drei dateien waren, fehlt ja immer noch eine.

grüße von konfusius

#4 Benutze die Systemwiederherstellung http://virus-protect.org/systemwiederherstellung.html

Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u11 zum Desktop

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u11-windows-i586-p-s.exe

CombiFix entfernen
Start > Ausführen> Kopiere rein ComboFix /U OK
__________
MfG Argus

#5 okay, ich hab alles so gemacht. vielen dank für den tip mit dem java zeug. ich weiss nicht obs daran liegt, aber mein rechner fährt jetzt viel schneller runter als vorher.

die systemwiederherstellungspunkte habe ich gelöscht. die evtl. in den datei-archiven vorhandenen viren damit auch, wenn ich das richtig verstanden habe.

hoffe ich. aber wenn fsblacklight, hijackthis und alles anderen nix finden, wird da wohl auch nix sein.

besten dank noch mal an virenfinder und arnold! geil, dass es leute wie euch gibt!

grüsse von konfusius

#6 hi,
so weit ich weis hat java einiges an seinen startroutinen geendert. ob das nun was beim runterfahren ausmacht, weiß ich net genau.
avira würde ich trotzdem behalten, ist momentan das beste am markt...
das man nie 100 % erkennt ist klar...
einige punkte die zu beachten sind:
1. vor dem ersten gang ins internet das antivirenprogramm updatgen
2. jeden 2 dienstag im monat (zu mindest zeitnah) die windows update-seite besuchen und die wichtigen updtes laden!
4. den secunia software inspector laden und ein mal pro monat auf veraltete software prüfen lassen! (diese beiden punkte erhöhen deine sicherheit)
5. behalte malware update ein mal pro woche. lass antivir und malwarebytes all deine festplatten ein mal pro woche scannen. bei malwarebytes reicht quick scan.
6. in windows net als administrator arbeiten. dieses konto nur nutzen falls unbedingt nötig!

#7 okay, wird gemacht!!!!!!!!!!!

lots of thanx to the cool guys of protecus



_________