CIH 1106 Virus, wie wird man den los? |
||
---|---|---|
#0
| ||
20.12.2008, 15:37
Member
Beiträge: 131 |
||
|
||
20.12.2008, 16:07
Member
Beiträge: 3716 |
||
|
||
22.12.2008, 00:15
Member
Themenstarter Beiträge: 131 |
#3
vielen dank für die hilfe!
ich habe, hoffe ich, alles weitestgehnend so gemacht, also temporäre dateien, internetcache etc. alles glöscht und die scanner laufen lassen. combofix: ComboFix 08-12-18.03 - xxx 2008-12-21 23:54:06.2 - NTFSx86 Microsoft Windows XP Home Edition xxxx [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\willy\Desktop\ComboFix.exe . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-21 23:55:03 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-12-21 23:55:50 ComboFix-quarantined-files.txt 2008-12-21 22:55:34 ComboFix2.txt 2008-12-20 15:46:36 Vor Suchlauf: 11 Verzeichnis(se), 14.350.204.928 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 14,341,816,320 Bytes frei 132 --- E O F --- 2008-12-18 17:00:37 hijackthis: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\All Users\Desktop\neuerordner3\HijackThis.exe O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224439178171 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1224443870984 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe ausserdem stinger und fsblacklight. auch ohne ergebnis. nocheinmal das problem: ich habe, weil Antivir nie irgendwas fand bei mir, mal avast ausprobiert. avast hat bei 2 scans dieselben verdächtigen dateien gemeldet (3 stück.) ich habe leider nur eine davon (fast vollständig) notiert: gemeldeter virus: WIN95: CIH-1106 in A0013280.exe in folgendem ordner: C:\system volume information\-restore{B4A7F705-96C0-402E-9647-D28DD5E80269}\RP51\A0013280.exe\Files\initrd.img\... (ein bischen fehlt leider) der fragliche ordner ist auch mit suchfunktion nicht zu finden. avast konnte die dateien nicht löschen (zugriff verweigert) und auch nicht in den container verschieben (container nicht geeignet für diese art von dateien). nachdem combofix und hijackthis gelaufen sind (die ja anscheinend nix gefunden haben) habe ich noch einmal mit avast gescannt, um die pfade der anderen zwei dateien zu notieren. avast hat nun aber nur noch 2 dateien gefunden, mit dem selben virus CIH-1106, die aber nun plötzlich in einem unterverzeichnis von avast waren und sich auch löschen liessen. was bedeutet das nun? selbst wenn das zwei von den drei dateien waren, fehlt ja immer noch eine. grüße von konfusius |
|
|
||
22.12.2008, 01:59
Ehrenmitglied
Beiträge: 6028 |
#4
Benutze die Systemwiederherstellung http://virus-protect.org/systemwiederherstellung.html
Java Dein Java software ist veraltet, Download Java Runtime Environment (JRE) 6u11 zum Desktop Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software Die aeltere Versionen von Java Runtime Environment (JRE of J2SE) Nachdem alles entfernt wurde --->Rechner neu starten Schliesse alle Programme auch dein Webbrowser Installiere jetzt vom Desktop aus ---> jre-6u11-windows-i586-p-s.exe CombiFix entfernen Start > Ausführen> Kopiere rein ComboFix /U OK __________ MfG Argus |
|
|
||
22.12.2008, 15:24
Member
Themenstarter Beiträge: 131 |
#5
okay, ich hab alles so gemacht. vielen dank für den tip mit dem java zeug. ich weiss nicht obs daran liegt, aber mein rechner fährt jetzt viel schneller runter als vorher.
die systemwiederherstellungspunkte habe ich gelöscht. die evtl. in den datei-archiven vorhandenen viren damit auch, wenn ich das richtig verstanden habe. hoffe ich. aber wenn fsblacklight, hijackthis und alles anderen nix finden, wird da wohl auch nix sein. besten dank noch mal an virenfinder und arnold! geil, dass es leute wie euch gibt! grüsse von konfusius |
|
|
||
22.12.2008, 15:47
Member
Beiträge: 3716 |
#6
hi,
so weit ich weis hat java einiges an seinen startroutinen geendert. ob das nun was beim runterfahren ausmacht, weiß ich net genau. avira würde ich trotzdem behalten, ist momentan das beste am markt... das man nie 100 % erkennt ist klar... einige punkte die zu beachten sind: 1. vor dem ersten gang ins internet das antivirenprogramm updatgen 2. jeden 2 dienstag im monat (zu mindest zeitnah) die windows update-seite besuchen und die wichtigen updtes laden! 4. den secunia software inspector laden und ein mal pro monat auf veraltete software prüfen lassen! (diese beiden punkte erhöhen deine sicherheit) 5. behalte malware update ein mal pro woche. lass antivir und malwarebytes all deine festplatten ein mal pro woche scannen. bei malwarebytes reicht quick scan. 6. in windows net als administrator arbeiten. dieses konto nur nutzen falls unbedingt nötig! |
|
|
||
22.12.2008, 15:59
Member
Themenstarter Beiträge: 131 |
||
|
||
ich bin seit langem AntiVir nutzer. das prog hat aber nie was gefunden, deshalb hab ich avast mal getest und das fand prompt einen versteckten ordner "system volume information" mit drei von Win95:CIH-1106 infizierten dateien. avast kann sie allerdings weder löschen noch in den container verschieben.
wie werd ich das zeug nun wieder los?
lg konfusius