Hartnäckige Viren

[HHBoy]

Moin moin allerseits,
wie bereits in der Überschrift festgehalten schlage ich mich derzeit mit 2 harten Viren rum, Tipps im I-net fruchteten derzeit leider noch nicht, deshalb würde ich euch gerne nach Hilfe fragen.

Es handelt sich um die beiden Trojaner
TR/Crypt.ZPACK.Gen
TR/Dropper.Gen

Des weiteren breitet sich der TR/Dropper rasend schnell aus, hab zz alle 15 Minuten 6 neue Funde (Avira gibt mir Alarm, weil sie zugreifen wollen). Ich kann die Dateien dann auch löschen, jedoch kommt dann eine Warnung mit einem Fund in genau der gleiche nDatei hinterher -.-
Auf der Avira Homepage steht bei TR/Dropper.gen übrigens unter Auswrikungen, dass sie wohl schädliche Dateien erstellt, wohl genau diese Vermehrung.
Nun halt meine Frage an euch: könnt ihr mir helfen die Verbreitung einzustellen bzw den Trojaner ohne zu große Verluste zu zerströren? Ihre Speicherorte liegen zB auf:

TR/Crypt.ZPACK.Gen:
C:\Windows\System32\ovfsthxxysmjxm.dll
(4 mal die gleiche Datei befallen, sonst keine Einträge)

TR/Dropper.Gen:
C:\Windows\Temp\ovfsthxpxhnbdvbnx.tmp
(derzeit 13 Dateien befallen, ständig verbreitend, alles .tmp Dateien im Temp-Ordner)

Hoffe auf schnelle Hilfe
Gruß HHBoy

 

[Agi Hammerklau]

http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=ge&venid=sym
http://www.trojaner-info.de/beseitigung.shtml
http://forum.chip.de/viren-trojaner-wuermer/erste-hilfe-infektionen-viren-wuermer-etc-973778.html
http://www.hijackthis-forum.de/archiv/31674-tr-dropper-gen.html
MfG v F W!

 

[BrollyLSSJ]

Du hast zwei Möglichkeiten:

1. Den Rechner platt machen.
2. Wenn du ersteres nicht willst und Avira finden den Trojaner komplett => lad dir die Avira Rescue CD runter, downloade zur Vorsicht noch die aktuellen Virendefinitionen in Form eines ZIP-Archivs und brenne die CD. Danach booteste von der CD und spielst die Virendefinitionen ein, damit die ganz aktuell sind und machst einen Scan per Avira CD. Dann sollte er definitiv alle, die er findet, entfernen koennen. Da meines wissens nach die Rescue CD einmal pro Tag aktualisiert wird (also neu hochgeladen wird), sollten da aber die aktuellen Definitionen drin sein und du brauchst normalerweise nicht die Virendefinitionen runterladen.

Alternativ kannst du auch die Kaspersky Rescue CD laden und brennen. Die kann auch ein Update machen, wenn du Internet per CD hast.

 

[smoe82]

Wenn "rasend schnell" immer wieder neue Trojaner auf dem Rechner landen, hast Du ziemlich sicher ein Rootkit auf dem Rechner, welches den eigentlichen Downloader versteckt. Du kannst auch davon ausgehen, dass sich da noch mehr Schadprogramme auf Deinem Rechner tummeln, die Dein AV nicht entdeckt bzw. die durch das Rootkit erfolgreich versteckt werden.


Trojaner haben (m.W.) keine eigenen Verbreitungsroutinen und müssen aktiv durch Deinen Rechner irgendwo herunter geladen werden. Wenn also ständig Meldungen über Funde kommen, selbst wenn Du nichts machst, dann hast Du einen Downloader im System versteckt.


Du kannst folgendes versuchen: Rechner physisch vom Inet trennen und Platte soweit möglich säubern. Kommen dann keine weiteren Meldungen über neue Funde, liegts daran, dass der Downloader keine Hosts erreicht.


-> entweder Du besorgst Dir eine ordentliche Notfall CD bzw. stellst Dir eine auf einem anderen PC zusammen und säuberst damit Dein System oder - das würde ich machen - alles neu aufsetzen.

 

[HHBoy]

So Leute, konnte die Verbreitung eindämmen. Da die Dateien sich im Windows 32 Temp Ordner sammelten, löschte ich einfach sämtliche Dateien in ihm: und siehe da, keine Meldungen mehr. Nur eine einzige Meldung bekomme ich bei Systemstart, damit kann ich aber leben^^
Mal hoffen, dass es das vorerst war

 

[PerfectKnight]

@HHBoy
Naja, aber Online-Banking würde ich nicht gerade über den Rechner tätigen - und sensitive Daten für alle Fälle sichern (und gründlich scannen) ...

 

[BrollyLSSJ]

Nur eine einzige Meldung bekomme ich bei Systemstart, damit kann ich aber leben^^

Hoert sich so an, als haettest du n Trojan-Downloader oder Rootkit auf dem System, welches neue Schadsoftware nachlaedt, die dann von deinem AV geloescht wird.

 

[HHBoy]

Das stimmt. Aber das Virenproblem ist eh eher zweitrangig. Denn der Rechner lässt sich jetz gar nicht erst mehr starten krieg nur nochn Beep-Code (2 kurz, 8 lang, AMI) und das wars. Normalerweise konnte ich das nach mehrfachem resetten einfach "umgehen" aber seit heute komm ich nicht mehr dran vorbei

 

[Agi Hammerklau]

Mach ihn platt! Du bekommst sonst nie Ruhe und ein sicheres System. Achtung! Das Viechtzeug kann auch in den Sicherungen und USB-Sticks, USB-HDDs und Speicherkarten sein!

 

[BrollyLSSJ]

Biste dir sicher mit 2x kurz und 8x lang? Ansonsten gucke mal hier nach, eventuell hast du dich naemlich verhoert.

 

[HHBoy]

ja bin mir sicher
jedoch hatte ich auch schon graka ausgetauscht, gleicher fehler. liegt daher warscheinlich am board. naja egal, mein freund ist fachmann (diplominformatiker), der weiß etwas mehr als ich (it-systemkaufmann). vlleicht findet er ja den fehler

 

[ownagi]

geile aussage mit diplominformatiker und it-systemkaufmann ...
es ist zwar naheliegend dass informatiker ahnung von hardware haben
aber das hat 0 mit dem studium zu tun!

 

[HHBoy]

naja aber ahnung hat er schon
obs nun am studium liegt oder nicht^^

 

[BrollyLSSJ]

Mein Bruder ist ebenfalls Diplominformatiker, aber mit Hardware hatten die nichts an der Hochschule. Da war der Schwerpunkt mehr auf der Programmierung.

Dein Board habe ich ebenfalls in verdacht, auch, wenn man sich die Toene in dem Link ansieht, den ich im vorherigen Post gegeben hatte. Ich weisz auch nicht, ob das Kompendium nun so alt ist, dass erst spaeter neue Toene (dein beschriebenes 2x kurz 8x lang) hinzugekommen sind und das Kompendium nicht aktuell ist. Kann natuerlich sein, dass die Pieptoene bedeuten, dass die Grafikkarte kaputt ist, aber in Wirklichkeit ist der Steckplatz der Grafikkarte kaputt.

 

[HHBoy]

Was mir grade auffällt: sry, es war nicht 2 kurz, acht lang sondern 2 kurz, 8 auch kurz. nur dazwischen ist halt eine pause von ca 0,5 secs. nur ich glaube mal das das einfach nur ein fehler is und die eigentlich zusammen gehören, damit wäre es dann ja ein systemboard fehler >board kaputt wodurch auch immer. ausser dieser variante wäre zwar vielleicht noch beides möglich (2 piepser= parity fehler; 8 piepser=Grafikkarten Speicher Fehler) wäre nur merkwürdig, da eine andere graka ja auch nicht funktioniert

Ergänzung (16. Mai 2009)

So wie erwartet die negative Diagnose: Board ist breit. Nun erstmal ein neues bestellen, das dauert wieder
Naja, ist dann so. Hat da wer Einwände gegen das Asus P5Q?