W32.Virut.cf krieg ich nicht weg

#0
26.03.2009, 10:51
...neu hier

Beiträge: 7
#1 Hallo,

ich habe mir laut nis 2009 den virus w32.virut.cf eingefangen und kriege ihn trotz der removaltools von norton fixvirut.com im abgesicherten modus nicht weg. habe alles so gemacht wie im norton forum beschrieben.

tool geladen systemwiederherstellung deaktiviert lang/wlan/internet gekappt computer im safe mode gestartet fixvirut.com gestartet etc.


fixvirut findet auch 2 prozesse allerdingskeine befallenen dateinen, beedet diese prozesse und meldet das system als clean.

beim nächsten neustart ist der virus allerdings wieder da bzw wird von autoprotect erkannt und angeblich gecleant - was nun ?

Ist das norton removal tool so fehlerhaft ?

Mit der Bitte um Hilfe

Sylvie ;-))
Seitenanfang Seitenende
26.03.2009, 12:01
Moderator

Beiträge: 7804
#2 Nein, das "tool" ist schon recht gut, nurist es lange nicht fuer alle Virut Varianten geeignet. Es gibt davon inzwschen 1000e leicht verschiedene Varianten.

Teste bitte einmal die Datei c:\windows\system32\verclsid.exe bei Virustotal und poste das Ergebniss, bzw den Link zum Ergebniss.

Welche "Prozesse" meldet das Norton Tool?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.03.2009, 12:21
...neu hier

Themenstarter

Beiträge: 7
#3 ich würde die datei gerne posten bei virustotal - schlichtweg mein problem ist, daß diese datei in dem verzeichnis c:\windows\system32\verclsid.exe nicht ! existiert.

was nun ?
Seitenanfang Seitenende
26.03.2009, 12:31
Moderator

Beiträge: 7804
#4 Dann get es hiermit weiter:
Welche "Prozesse" meldet das Norton Tool?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.03.2009, 12:40
...neu hier

Themenstarter

Beiträge: 7
#5 derzeit meldet die log datei von fixvirut.com die winlogon.exe. im übrigen habe ich die verclsid.exe nach einem suchvorgang in einem ganz anderen verzeichnis gefunden naämlich in C:\windows\$hf_mig$\KB908531\SP2QFE
Seitenanfang Seitenende
26.03.2009, 12:44
Moderator

Beiträge: 7804
#6 Nein, die Datei in dem Verzeichniss sollte sauber sein.

Dann pruefe bitte die winlogon.exe bei v-T

Sie sollte sich auch in system32 befinden
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.03.2009, 13:07
...neu hier

Themenstarter

Beiträge: 7
#7 hab die winlogon hochgeladen der link ist http://www.virustotal.com/de/analisis/45d8540f44a279d142026aeb112657aa

.....

mein problem mit diesem virus wird doch langsam evident. denn nis 2009 "reagiert" ganz brav und erkennt einen befall nach dem anderen und löscht insofern unmengen an dateien unwiderbringlich. damit geht mein ganzes system das imerhin fast 2 TB hat down und endgültig vor die hunde.

ich habe nun von einer acronis boot cd gestartet und versuche mit einem wiederherstellen der partition c dem ganzen herr zu werden bevor es zu spät ist. ansonsten wünsche ich diesen debilen virenprogrammieren aus ganzem herzen tod und teufel an den hals ;-)) (und damit bin ich sicher nicht alleine...)

Sylvie (stinksauer rum guckend)
Dieser Beitrag wurde am 26.03.2009 um 13:37 Uhr von sylviemort editiert.
Seitenanfang Seitenende
26.03.2009, 15:04
Moderator

Beiträge: 7804
#8 Virut ist nun mal ein Dateiinfizierer, achte bitte darauf, das du keine Dateien von anderen Partitionen/Laufwerken startest, bovor du sie mit einem aktuellen AV-Programm, welches den Virut erkennt, ueberprueft hast!
Virut kann ganz schoen hartnaeckig sein. Du solltest den Infektionsursprung ermitteln!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.03.2009, 15:34
...neu hier

Themenstarter

Beiträge: 7
#9 tja leichter gesagt als getan. natürlich ist mir klar dass quasi neue dateien als multiplikatioren des schaden wirken. aber mir ist in keiner weise klar wie ich den ursprung finden soll. wie lautet denn dein feedback zu meinem hochgeladenen link - ist da irgendwas verwertbares draus zu folgern ?

momentan kann ich gar nichts tun, da grade und das dauert bis ca 18.00 meine partition c aus einem virenfreien backup wiederhergestellt wird. danach kommt die "große spannung" - wars das nun mit der infektion oder nicht - wenn nicht, was ich nicht hoffe, bin ich nach momentanen kenntnisstand ratlos und hilflos, denn norton 2009 macht mehr kaputt als ganz - unzählige befallene dateien zu löschen ist zwar schön und gut aber bewirkt letztendlich in etwa denselben schaden wie der virus selbst.

und im internet finde ich nach ca 8 stunden recherche keinen verwertbaren und umsetzbaren tipp wie ich diesem schädling sinnvoll zu leibe rücken kann - das ganze ist traurig aber wahr

Sylvie .... waiting .........
Seitenanfang Seitenende
26.03.2009, 15:36
Member

Beiträge: 3716
#10 1. zwingt dich keiner zu löschen, du könntest auch ignorieren oder in quarantäne schieben. 2. wenn du das backup drauf hast, scanne deine anderen partitionen auf virenbefall. auch ein onlinescanner währe da ganz hilfreich
Seitenanfang Seitenende
26.03.2009, 16:09
Moderator

Beiträge: 7804
#11 Bitte zum Jetzigen Zeitpunkt keine weiteren Scans machen und den Rechner von Netz nehmen.

Ich bin mir nicht sicher, ob Virut nicht ein "direct action" Infector ist. Sprich es kann sein, das jede Datei infiziert wird, die man oeffnet. Also jedes mal, wenn dein AV Programm eine Ausfuehrbare Datei oeffnet um sie zu untersuchen, wuerde diese gleich von dem aktiven Virut infiziert werden. Also ist scannen hier kontraproduktiv!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.03.2009, 18:41
...neu hier

Themenstarter

Beiträge: 7
#12 so die katastrophe ist perfekt - obwohl ich partition c von einem sauberen backup komplett wiederherfestellt habe, ist der virus noch da. ich bin am ende meiner nerven - was nun - ich kann doch unmöglich ein 2 TB system neu aufsetzen - das sind monate an arbeit

bin verzweifelt - bin ich denn die eintige die ein w32.virut.cf (mach norton 2009 namensgebung) virenbefall habe - das kann doch nicht sein - bei der bösartigkeit des schädlimgs müssen doch noch andere das problem haben

hilfe


sylvie



So nach einer durchgemachten Nacht und mehrerene versuchen dassystem das ich neu aufgesetzt habe zu cleanen (aus dem backup),

habe ich nun plötzlich win32.trojandowloader.injecter gefunden.
darüberhinaus hat adaware den prozess vrt7.tmp (1152) gestoppt

ich weiss nihct mehr weiter was geht hier ab ?
Dieser Beitrag wurde am 27.03.2009 um 12:50 Uhr von sylviemort editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: