Home » Viren, Trojaner & Malware Forum » w32.weird(gen1) unter xp entfernen » Themenansicht

w32.weird(gen1) unter xp entfernen
#0
08.06.2003, 15:46
dk16
...neu hier

Beiträge: 5
#1 Hoi, hab mir einen w32.weird(gen1) Virus eingefangen. Die Entsprechende Datei liegt im Windows Ordner und heißt z2000.exe. Virus hat schon mehrer Programme befallen und zerstört. Kann mir jemand sagen wie man diese Datei löscht, bzw. den ganze Virus entfernt?
Daten zum PC:

WinXP Professional auf NTFS Partition
Cd- Rom Laufwerk
Kein Diskettenlaufwerk!

Was ich bis jetzt probiert habe:


-NAV(NortonAntiVirus) Virenscan (kann ihn nicht löschen)
- NAV Liveupdate
-Mit WinXP Repair Konsole versucht zu löschen
-Mit Knoppix versucht zu löschen
-Im XP selber versucht zu löschen (geht, nur beim reboot ist alles wieder da)
-NSW(NortonSystemWorks) Cd beim booten eingelegt, NAV gestartet (NAV
kann keine NTFS Partionen scannen)

Kann mir jemand sagen ob der NortonCommander NTFS Partitionen erkennt? Wenn ja, kann ich mit dem NC den Virus löschen??

gruß
dk
Seitenanfang Seitenende
08.06.2003, 16:43
raman
Moderator

Beiträge: 7805
#2 Nutze mal diesen Link und sag, was KAV in dieser Datei vermutet: http://www.kaspersky.com/remoteviruschk.html

Ich komme mit dem (gen1) nicht so ganz klar, das bedeutet AFAIK, das das ein generation 1 File ist, sprich ein frisch erstellte( von dem Sourcecode) Version des Virus.
Und wieso soll es nur diese eine Datei sein, wenn auch andere Programme befallen/zerstoert sein sollen.

Hier gibt es ein paar Infos zu dem Virus: http://www.virusbtn.com/resources/vgrep/vgrep.cgi?terms=w32.weird&product=0
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.06.2003, 22:06
dk16
...neu hier

Themenstarter

Beiträge: 5
#3 ok, das hat kaspersky ausgespuckt:

"z2000.exe Infected: Win32.Weird.10240"

Also ich denke das es nur diese Datei ist, weil Norton alle anderen ausser dieser Reparieren kann.
Über den Virus hab ich mich schonmal informiert. Ich weis halt nur nicht wie ich ihn wieder loswerde.
Während ich hier schreibe läuft ein Online Virus Scan von Symantec.
Bis jetzt hab ich über 100 infizierte Dateien.
Ich muss das Ding umbedingt loswerden.
gruß
dk
Seitenanfang Seitenende
08.06.2003, 22:29
raman
Moderator

Beiträge: 7805
#4 Naja, vieleicht waere ja die BART CD von Avast das richtige fuer dich. Suche dir jemanden, der die die Datei herunterlaedt( ca 60MB!!) und dann auf eine Cd brennt. Nun musst du nur noch von dieser CD Booten und deine Festplatte scannen und reinigen lassen. Es wird NTFS voll unterstuetzt.

Oh, den Link habe ich vergessen: http://www.avast.com/i_idt_154.html
Die dort angebotene Version laeuft noch bis Ende Juli
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.06.2003, 14:03
dk16
...neu hier

Themenstarter

Beiträge: 5
#5 Hab die CD! Hab auch den PC gescannt und es wurden ca 47 infizierte DAteien gefunden. Nur, wie kann ich die z2000.exe löschen?? Ich hab auf Delete geklickt aber beim nächsten Neustart war noch alles beim alten.
gruß
dk
Seitenanfang Seitenende
18.06.2003, 16:59
Superbob
...neu hier

Beiträge: 3
#6 www.antivir.de ist eine seite wo du antivir Xp/Nt/2000 personen edeson laden kans!!
Seitenanfang Seitenende
18.06.2003, 17:31
raman
Moderator

Beiträge: 7805
#7 Versuche mal was anderes. Nenne die Datei um und starte den Rechner danach neu. Wird dann eine neue z2000.exe Datei zusaetzlich zu der umbenannten Datei angezeigt?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.06.2003, 00:00
dk16
...neu hier

Themenstarter

Beiträge: 5
#8 Ja, ich habe die datei umbenannt und die wininit.ini gelöscht. Nach dem Restart wurde eine neue z2000.exe bzw. wininit.ini generiert.
gruß
dk
Seitenanfang Seitenende
19.06.2003, 05:16
raman
Moderator

Beiträge: 7805
#9 Poste mal, was fuer Dateien beim Windowsstart ausgefuehrt werden. Du kannst dafuer MSCONFIG nehmen, oder hier wird oefter auch mal dieses Programm dafuer empfohlen: http://www.lurkhere.com/~nicefiles/hijackthis193.zip
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.06.2003, 12:49
dk16
...neu hier

Themenstarter

Beiträge: 5
#10 Logfile of HijackThis v1.93.0
Scan saved at 12:48:17, on 19.06.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.de/
O2 - BHO: (no name) - {136A9D1D-1F4B-43D4-8359-6F2382449255} - C:\Programme\SuperBar\SuperBar.Dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\SYSTEM TOOS\norton2002\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\MULTIMEDIA\Go!Zilla\GoIEHlp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SuperBar - {C7CB6AB9-0DC7-44D0-A609-7822A5AD4FA2} - C:\Programme\SuperBar\SuperBar.Dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\UNTERHALTUNG\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\multimedia\quick\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NAV Agent] C:\SYSTEM~2\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Winupdate32] SVHOST.EXE
O4 - HKLM\..\Run: [Outpost Firewall] "C:\MULTIMEDIA\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] e:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Go!Zilla.lnk = C:\MULTIMEDIA\Go!Zilla\gozilla.exe
O4 - Global Startup: Microsoft Office.lnk = E:\office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - C:\MULTIMEDIA\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\MULTIMEDIA\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Open with GetRight Browser - C:\MULTIMEDIA\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {69DEAF94-AF66-11D3-BEC0-00105AA9B6AE} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

hmm, sieht nicht so aus als würde da irgendwas mit der datei gemacht oder??
gruß
dk
Seitenanfang Seitenende
19.06.2003, 13:00
raman
Moderator

Beiträge: 7805
#11 Na, sieh an, es gibt ja fast nichts auf deinen Rechner, was nicht beim Start ausgefuehrt wird! ;)
Ich Tippe mal auf diese DAtei als Uebeltaeter:
HKLM\..\Run: [Winupdate32] SVHOST.EXE
Du kannst sie ja mal mit hilfe des Kasperskylinks testen. Auf jedenfall solltest du diese Datei nicht mehr starten lassen und schauen, ob es das war.


Wie es aussieht, ich nutze beide nicht, darum weiss ich nicht ob beide aktiv sind, hast du den Waechter von Norton und Antivir gleichzeitig laufen.
HKLM\..\Run: [AVGCtrl] e:\Programme\AVPersonal\AVGNT.EXE /min
HKLM\..\Run: [NAV Agent] C:\SYSTEM~2\NORTON~1\NORTON~1\navapw32.exe
Du solltest dich fuer einen entscheiden.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1