Habe anscheinend mehrere Viren und Trojaner auf dem Pc eingefangen

#46 also USBFix hab ich durchgemacht.
SysProt ging nicht, da ständig der Prozess explorer.exe bzw. services.exe die komplette cpu beanspruchte, so hing sich sysprot durchgehend auf.

Ach ja was ich noch fragen wollte: Wenn ich den PC neu aufsetze, hab ich dann zu 100 % alle Viren, Rootkits und Co. los???

#47 Kann ich nicht sagen habe XP noch nie neu aufgesetzt
Geh aber nicht ohne ein Realtime Virenscanner im Netz
Download Programme immer beim Hersteller

Halte dich fern von Crack Seiten
Es gibt jetzt Infektionen mit z.b. System Security 2009 wobei Windows gar nicht mehr startet
__________
MfG Argus

#48 Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN
Suche C:\WINDOWS\system32\do_not_delete.exe und klicke OK

Mach dasselbe mit:
C:\WINDOWS\system32\live.exe
__________
MfG Argus

#49 live.exe hab ich gelöscht, die do_not_delete.exe hab ich schon i-wie ganz zu Anfang gelöscht.

Weißt du wie ich mein System neu aufsetze ohne von der CD booten zu müssen?

Edit:
Es scheint so, als hätte sich die Frage gelöst. ich probier jetzt über Diskette zu booten...

#50

Zitat

Oliver1501 postete
^^du hast vergessen dass ich keine antivirenseiten öffnen kann

hi

#51 ^^?!?
naja egal.
jedenfalls meine ich so langsam genau zu wissen, dass ich den Wurm W32 hab, der auf der Seite http://www.sophos.de/security/analyses/viruses-and-spyware/w32netskyp.html genau erläutert wird. Ich bin mir da so sicher, da mein PC genau die gleichen Symptome aufweist wie beschrieben.
Doch nicht nur das:
Der Wurm beendet anscheinend recht früh nach der Anmeldung den Prozess von der Prozedurablauf oder so ähnlich und noch einen prozess. jedenfalls verursacht ein beenden dieser beider prozesse ein fenster in dem eine uhr von 1 minute rückwärts lauft. zum zeitpunkt null^^ soll und wird dann auch der pc automatisch runtergefahren. Dass er runterfährt so wenn dieser bestimmte prozess beendet wird, war schon immer so. jedoch nicht, dass sich dieser prozess selbst beendet bzw. fremd beendet wird.

auf der oben gennanten hp ist unter Maßnahme ein Link mit dem Namen Hinweis... , auf dieser linkseite ist ein tool namens NTSKYGUI. das werde ich heute noch testen. heute abend komm ich wieder on

#52 Ok dann berichte mal.

Gruss Swiss

#53 Wie berichten?
Ich lass mein PC hochbooten, bis der Anmeldebildschirm kommt, ich melde mich an, muss dann höchstens so 2-3 Minuten warten, bis sich ein kleines, etwas zigarettenschachtel großes fenster öffnet, in dem u. a. drin steht: ...der PC wird neu gestartet, da der Prozess CMOS-Server-Ablauf beendet wurde.... oder so ähnlich. ich weiß es halt nicht so genau mehr, da ich an meinem pc dadurch nicht mehr ins internet komme. jedenfalls ist da dann im fenster ein countdown, dr von 1:00 minute rückwärts runterzählt, bis dann bei null der PC neustartet.

#54

Zitat

auf der oben gennanten hp ist unter Maßnahme ein Link mit dem Namen Hinweis... , auf dieser linkseite ist ein tool namens NTSKYGUI. das werde ich heute noch testen

Hast du das getestet?

Poste bitte ein neues HJT Log.

Gruss Swiss

#55 achso das. ne ich bin noch nicht dazu gekommen. sry

#56 naja jetzt hab ich ein größeres problem. ich kann nicht mehr mal richtig hochfahren.

#57 Dann müssen wir realistisch bleiben und zugetehen, dass die einzig richtige Löcung ist das System komplett platt zu machen und neu aufzusetzen. Alles andere bringt hier nichts mehr nehme ich an.

Gruss Swiss

#58 Da hast du vollkommen recht. das probiere ich auch schon seit einer Woche. Lediglich habe ich keine Original CD von Win XP Pro und somit keine Boot CD. Jedoch habe ich eine legale Downloaddatei, welche ich auch auf CD gebrannt habe. Diese Datei ist jedoch nicht bootfähig. Und ein bootfähige CD oder die Drunddateien, die man dafür braucht finde ich auch nicht so recht im WWW.

#59 So ich habs nun endlich geschafft. Mein problem war, dass ich für die benutzte Cd die Daten aus einem Iso-Image gezogen und hab und diese so draufgebrannt hab. Also hab ich mit CD BurnerXP das ISO komplett gebrannt und es hat endlich geklappt.

Mein PC lauft wieder auf Hochtouren.

Ich bedanke mich sehr herzlich für alle, die mir geholfen hatten, den Virus entfernen. Es war übrigens doch der Virus W32/Virut.Gen.

;-)

#60 So, nun noch zu allerletzt das Resultat des Onlinescans von virustotal meiner schönen virus-datei:

File Working_Anno_1404_Crack_Setup.exe received on 2009.09.07 16:30:26 (UTC)

Result: 13/41 (31.71%)

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.07 Trojan.Win32.Pakes!IK
AhnLab-V3 5.0.0.2 2009.09.07 Win-Trojan/Pakes.239616
AntiVir 7.9.1.8 2009.09.07 -
Antiy-AVL 2.0.3.7 2009.09.07 Trojan/Win32.Pakes.gen
Authentium 5.1.2.4 2009.09.07 -
Avast 4.8.1351.0 2009.09.07 -
AVG 8.5.0.409 2009.09.07 -
BitDefender 7.2 2009.09.07 -
CAT-QuickHeal 10.00 2009.09.07 -
ClamAV 0.94.1 2009.09.07 -
Comodo 2210 2009.09.07 TrojWare.Win32.Pakes.nnv
DrWeb 5.0.0.12182 2009.09.07 -
eSafe 7.0.17.0 2009.09.06 Win32.Pakes.Nnv
eTrust-Vet 31.6.6724 2009.09.07 -
F-Prot 4.5.1.85 2009.09.07 -
F-Secure 8.0.14470.0 2009.09.07 Trojan.Win32.Pakes.nnv
Fortinet 3.120.0.0 2009.09.07 W32/Pakes.NNV!tr
GData 19 2009.09.07 -
Ikarus T3.1.1.72.0 2009.09.07 Trojan.Win32.Pakes
Jiangmin 11.0.800 2009.09.07 -
K7AntiVirus 7.10.837 2009.09.05 -
Kaspersky 7.0.0.125 2009.09.07 Trojan.Win32.Pakes.nnv
McAfee 5733 2009.09.06 -
McAfee+Artemis 5733 2009.09.06 -
McAfee-GW-Edition 6.8.5 2009.09.07 -
Microsoft 1.5005 2009.09.07 -
NOD32 4403 2009.09.07 -
Norman 6.01.09 2009.09.07 -
nProtect 2009.1.8.0 2009.09.07 -
Panda 10.0.2.2 2009.09.07 Suspicious file
PCTools 4.4.2.0 2009.09.07 -
Prevx 3.0 2009.09.07 High Risk Cloaked Malware
Rising 21.46.04.00 2009.09.07 -
Sophos 4.45.0 2009.09.07 -
Sunbelt 3.2.1858.2 2009.09.07 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.09.07 -
TheHacker 6.3.4.3.396 2009.09.04 -
TrendMicro 8.950.0.1094 2009.09.07 -
VBA32 3.12.10.10 2009.09.06 Trojan.Win32.Pakes.nnv
ViRobot 2009.9.7.1921 2009.09.07 -
VirusBuster 4.6.5.0 2009.09.07 -
Additional information
File size: 2149903 bytes
MD5...: 91d73016dae6103cdac2c0b67aa2a1c7
SHA1..: 60ee22affb901289826734a3a23cc252506cf77d
SHA256: c31173d52a7587bdbf1ee9de666ba6eda82cfc9882975d043ce370d30bb8ae74
ssdeep: 49152:YCF//b7KjhbOrm+Q/KcZi/7SzDwERuuD7CTgDGNHGWc:j/jkarIKcZXD/v
WPRs
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8f2e
timedatestamp.....: 0x403ce885 (Wed Feb 25 18:25:09 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x12ae1 0x12c00 6.67 7fb56df729957dffd110e317740d0120
.rdata 0x14000 0x342a 0x3600 5.39 d3449cd8fdb876d59d0a2f97bd3d47cf
.data 0x18000 0x3af4 0x1e00 3.23 043e08d846ba636ea7ca037c913b0c75
.rsrc 0x1c000 0x20c0 0x2200 4.07 3c9f228395ac45b93cc69f7a2a4c13c1

( 3 imports )
> KERNEL32.dll: GetVersion, CreateDirectoryA, GetEnvironmentVariableA, SetErrorMode, FreeLibrary, TerminateProcess, OpenProcess, lstrcmpiA, CloseHandle, LoadLibraryA, WaitForSingleObject, CreateProcessA, FreeResource, _lclose, _lwrite, _lcreat, LockResource, LoadResource, SizeofResource, FindResourceA, GetUserDefaultLCID, GetPrivateProfileIntA, GetModuleFileNameA, lstrcmpA, GetDriveTypeA, GetFullPathNameA, FileTimeToLocalFileTime, SetEnvironmentVariableA, CompareStringW, CompareStringA, SetEndOfFile, GetCurrentProcessId, GetCurrentThreadId, FindFirstFileA, QueryPerformanceCounter, IsBadCodePtr, InterlockedExchange, GetLocaleInfoA, VirtualQuery, GetSystemInfo, VirtualProtect, CreateFileA, GetStringTypeW, GetStringTypeA, HeapSize, SetUnhandledExceptionFilter, HeapReAlloc, VirtualAlloc, GetTimeZoneInformation, FlushFileBuffers, SetFilePointer, ReadFile, VirtualFree, HeapCreate, HeapDestroy, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, GetStdHandle, LCMapStringW, MultiByteToWideChar, WideCharToMultiByte, GetCurrentDirectoryA, LCMapStringA, GetCPInfo, GetOEMCP, SetFileAttributesA, DeleteFileA, FindNextFileA, FindClose, SetCurrentDirectoryA, RemoveDirectoryA, GetModuleHandleA, GetProcAddress, GetLastError, GetDiskFreeSpaceA, GetPrivateProfileStringA, lstrcatA, GetCommandLineA, lstrlenA, GetProcessHeap, HeapAlloc, GetTickCount, lstrcpyA, DebugBreak, IsBadReadPtr, IsBadWritePtr, SetFileTime, SystemTimeToFileTime, FileTimeToSystemTime, ExitProcess, GetCurrentProcess, GetSystemTimeAsFileTime, GetStartupInfoA, GetVersionExA, RtlUnwind, SetStdHandle, GetFileType, HeapFree, RaiseException, WriteFile, GetACP
> USER32.dll: IsWindow, SendMessageA, GetDlgCtrlID, GetClassNameA, GetWindowLongA, PeekMessageA, TranslateMessage, DispatchMessageA, PostQuitMessage, GetSysColorBrush, EndDialog, GetDlgItem, ScreenToClient, RegisterWindowMessageA, MessageBoxA, DestroyWindow, GetPropA, RemovePropA, SetPropA, BeginPaint, EndPaint, SetWindowWord, InvalidateRect, UpdateWindow, DefWindowProcA, FillRect, GetClientRect, GetSysColor, FrameRect, InflateRect, UnregisterClassA, GetDesktopWindow, GetDC, ReleaseDC, ShowWindow, GetDlgItemTextA, wsprintfA, SetDlgItemTextA, SendDlgItemMessageA, GetWindowRect, GetSystemMetrics, SetWindowPos, GetWindow
> GDI32.dll: SetTextColor, SetBkColor, SetBkMode, DeleteDC, CreateCompatibleDC, GetObjectA, CreateCompatibleBitmap, SetStretchBltMode, SetBrushOrgEx, StretchBlt, BitBlt, CreateSolidBrush, SelectObject, PatBlt, DeleteObject, GetDeviceCaps, CreateFontIndirectA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=165078FE0F87E42ECE3D20C17F57480002451799' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=165078FE0F87E42ECE3D20C17F57480002451799</a>
packers (Kaspersky): UPX

Wer sich die datei mal selber anschauen will, darf sich gerne melden. ;-) XD