Spinnen die Antivirenprogs? Einstellungen

[steveangel]

Guten Morgen!

Weiß nicht was zur Zeit mit meinem System los ist!Rechenr läuft aber einige .exe Dateien kann ich nicht ausführen.Ebenfalls kann ich Software nicht von meinem Rechner entfernen,weil er mir ne Fehlermeldung "uninst000.msg nicht gefunden" gibt. Des Weiteren habe ich gestern mein System neu install (WinXp Pro) und habe Avira, Trustport, und noch ein "paar" Virenscanner drüberlaufen gelassen!Die haben jeweils fast jede exe Deitei als Win32.Parite.B Virus erkannt und wollten die Dateien entfernen.Mhhh....HiJackThis Log war unauffällig...und nun weiß ich leider nicht mehr woran das alles liegen kann. Hat sonst einer ne Ahnung???

Greetz
Steve

[BluesBrother]

lol, das´echt heftig! ... ^^
sicher das nicht deine festplatte langsam den geist aufgeben will? weil gleich nach´m wininstall mehrere viren drauf zu haben, geht eigentlich nur, wenn man servicepack 2 nicht installiert hat. (und natürlich auch keine schutzprogs) das hatte chip.de glaube ich mal getestet: 11 sekunden.

[Gast_Scrapie_*]

Hi

Format C, Installations CD mal mit AV scannen lassen, Offline Update-CD mit Hilfe der Scripts von heise erstellen lassen. Rechner offline von sauberer CD installieren, updaten mit der Update-CD, dann AV (FW event.) rauf und gut.


Scrapie

[steveangel]

zuerst mal THX für die Infos....Service Pack 2 habe ich drauf....kann natürlich sein,dass auf den anderen 2 Partitionen,welche ich nicht formatiert habe ,der Virus war oder ist. Habe die Knoppicillin und werd die auch mal drüberlaufen lassen.
Dann werde ich wohl mal so vorgehen, wie Scrapie es beschreiben hat...werde das heut Nachmittag mal angehen....

Bericht folgt :-)

Gruß

EDIT:

So bin jetzt zu Hause und mach mich mal an die Arbeit....

sieht der Scan nach knapp 20 Sec. aus

QUELLTEXT

<System>=>C:\WINDOOF\system32\msiexec.exe (disk)    Infected: Win32.Parite.B
<System>=>C:\WINDOOF\system32\msiexec.exe (disk)    Disinfected
<System>    Archive repacking has failed (marked actions not taken)
<System>=>C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe (disk)    Infected: Win32.Parite.B
<System>=>C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe (disk)    Disinfected
<System>    Archive repacking has failed (marked actions not taken)
<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\ASPNET_STATE\ImagePath=>C:\WINDOOF\MICROSOFT.NET\FRAMEWORK\V2.0.50727\ASPNET_STATE.EXE    Detected: Win32.Parite.B
<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\ASPNET_STATE\ImagePath=>C:\WINDOOF\MICROSOFT.NET\FRAMEWORK\V2.0.50727\ASPNET_STATE.EXE    Disinfected
<System>    Archive repacking successfully completed (actions successfully applied)
<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\CISVC\ImagePath=>C:\WINDOOF\SYSTEM32\CISVC.EXE    Detected: Win32.Parite.B
<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\CISVC\ImagePath=>C:\WINDOOF\SYSTEM32\CISVC.EXE    Disinfected
<System>    Archive repacking successfully completed (actions successfully applied)
<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\CLIPSRV\ImagePath=>C:\WINDOOF\SYSTEM32\CLIPSRV.EXE    Detected: Win32.Parite.B
<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\CLIPSRV\ImagePath=>C:\WINDOOF\SYSTEM32\CLIPSRV.EXE    Disinfected
<System>    Archive repacking successfully completed (actions successfully applied)
<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\CLR_OPTIMIZATION_V2.0.50727_32\ImagePath=>C:\WINDOOF\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSVW.EXE    Detected: Win32.Parite.B
<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\CLR_OPTIMIZATION_V2.0.50727_32\ImagePath=>C:\WINDOOF\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSVW.EXE    Disinfected
<System>    Archive repacking successfully completed (actions successfully applied)
<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\COMSYSAPP\ImagePath=>C:\WINDOOF\SYSTEM32\DLLHOST.EXE    Detected: Win32.Parite.B
<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\COMSYSAPP\ImagePath=>C:\WINDOOF\SYSTEM32\DLLHOST.EXE    Disinfected
<System>    Archive repacking successfully completed (actions successfully applied)
<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\DE_SERV\ImagePath=>C:\PROGRAMME\GEMEINSAME DATEIEN\AVM\DE_SERV.EXE    Detected: Win32.Parite.B
<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\DE_SERV\ImagePath=>C:\PROGRAMME\GEMEINSAME DATEIEN\AVM\DE_SERV.EXE    Disinfected
<System>    Archive repacking successfully completed (actions successfully applied)
<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\DMADMIN\ImagePath=>C:\WINDOOF\SYSTEM32\DMADMIN.EXE

UNFASSBAR

sowas hatte ich in meiner längeren "PC-Laufbahn" noch nie gehabt

Der Beitrag wurde von steveangel bearbeitet: 19.09.2007, 12:41

[Solution-Design]

Das liegt daran, dass du Windows WINDOOF genannt hast. Windows arbeitet dann nicht mehr korrekt und sendet jedem installiertem AV-Programm eine Meldung. Ist doch klar, oder?

[steveangel]

nein @ Solution-Design...kann ich nicht bestätigen....diese Win Version ist erst nachträglich draufgekommen......hatte den Virus auch schon auf dem "scheinbar" normal genannten Ordner.....

habe aber jetzt noch mehr Infos

Parite infiziert in kürzester Zeit alle vorhandenen *.exe und *.scr Dateien auf dem Gesamten PC & allen erreichbaren Netzwerk-Laufwerken (Da ist nach kurzer Zeit schon mit ca. 1000 infizierten Dateien zu rechnen), also bleibt dir nur die Möglichkeit so schnell wie möglich alle Exe- und Scr-Dateien ausfindig zu machen und zu löschen

löschen geht nicht (dann wäre jede EXE.Datei wech (auch die wichtigen)aber mit einem Bitdefender Remove-Tool oder dem Stinger klappt das wunderwar diese Dateien (welche durch den Wurm nicht zerstört wurden) zu "heilen"

Der Beitrag wurde von steveangel bearbeitet: 19.09.2007, 14:19

[Catweazle]

Ich glaube da ist Neuaufsetzen, sinvoller !!!

Catweazle

[Gast_Scrapie_*]

Nicht umsonst habe ich zu Format C: geraten.
Hatte auch mal einen Kandidaten mit Parite und konnte nur mit Kopfschütteln die Reperaturversuche von VBA32, Dr.Web, F-Prot, AntiVir und ClamWin beobachten. Erkennung schön und gut, aber die erfolgreiche Säuberung und Entfernung von Malware ohne Datenverlust ist leider (bei AV-Tests) ein zu wenig beachtetes Gebiet...


Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 19.09.2007, 14:49

[Gast_Eazi_*]

Hey Scrapie !

Hatte auch mal einen Kandidaten mit Parite und konnte nur mit Kopfschütteln die Reperaturversuche von VBA32, Dr.Web, F-Prot, AntiVir und ClamWin beobachten. Erkennung schön und gut, aber die erfolgreiche Säuberung und Entfernung von Malware ohne Datenverlust ist leider (bei AV-Tests) ein zu wenig beachtetes Gebiet...

War das zufällig in diesem Jahr? Ich meine die Infektion mit Parite bei Dir ?



Liebe Grüße,
B.

[steveangel]

so Leutz, bin wieder Virenfrei (hoffe ich mal)....

Danke nochmal für Eure Unterstüzung das Prob zu lösen bzw. mir Tipps zu geben

Gruß @ all
Steve

[Sasser]

Wenn man exe.dat nicht ausführen kann, sollte man den Grund vieleicht mal mit "Unlocker" versuchen rauszufinden.
Dort offenbahrt sich dann manchmal ein festhalten der Datei. Wenn das durch den Virus kommt, so haste wenigstens den Pfad.

[Gast_Scrapie_*]

Hey Scrapie !
War das zufällig in diesem Jahr? Ich meine die Infektion mit Parite bei Dir ?
Liebe Grüße,
B.

Hm, gute Frage.
War der Rechner von Tante. Müsste ich beim nächsten Besuch nachsehen, wann ich Win dort installiert hab'.

Scrapie

[Gast_Eazi_*]

Hallo .

Hm, gute Frage.
War der Rechner von Tante. Müsste ich beim nächsten Besuch nachsehen, wann ich Win dort installiert hab'.

Oki .

Der Grund, warum ich Dich frage ist ein einfacher...bei mir hat VBA vor drei Monaten nach einer Aktualisierung der Virendefinitionen alle Systemprozesse als infiziert beziffert...eben mit dem besagten Parite.
Alle Prozesse waren aber clean...ein klarer FP im bösen Sinne. Da das jetzt hier aber zu OT wird, würde ich sagen...Rest über PN (wenn Du Interesse hast).


Liebe Grüße,
B.

Der Beitrag wurde von Eazi bearbeitet: 20.09.2007, 17:00