Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Nach w32/Stanit Virenbefall nur noch Ärger
Rokop Security > Security > Trojaner, Viren und Würmer
xyCruiseryx
Moin ich mal wieder,

ich hatte gestern einen plötzlichen Virenbefall von w32/Stanit.

Mein Antivir hatte nur noch wilde Sau gespielt und mir Viren/Signaturen in fast allen Exe.Dateien angeziegt die sich auf meinem Comp befinden. Habe dann alles mit Panda wieder entfernen können.

Bedauerlicherweise hat dieser Virus (dem Coder mögen die Eier abfaulen) ranting.gif auch meine Toolsammlung angegriffen. Dies waren installlation exe.dateien wie Nero, babylon etc pp. Wenn ich diese Tools nun installieren will bekomm ich immer einen Fehler (NSIS ERROR) der wie folgt heisst: ich soll irgendwat installen und den /NCRC command line switch ausführen.........


Kann mir einer sagen was ich noch machen kann ??? Oder is alles im Arsch und ich kanns deleten ????

PS: wenn ich die files auf nem anderen pc installen will bekomm ich den selben fehlen. scheint wirklich so als ob alle exe datein schrott wären.


HIILFFFFFFFFFFFFFFFFFFFFFFFFFFEEEEEEEEEEEEEEEEEE


Hier noch mein Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 13:25:18, on 19.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Babylon\Babylon.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Citrix\ICA-Client\Wfcrun32.exe
C:\PROGRA~1\Citrix\ICA-CL~1\WFICA32.EXE
C:\Programme\Trillian\trillian.exe
C:\Programme\Everstrike Software\Lock Folder XP 3.5\LF30.exe
C:\Program Files\mIRC\mirc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Tino\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Lock Folder XP] C:\Programme\Everstrike Software\Lock Folder XP 3.5\LF30.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1C1EE1EF-0F6A-4182-AFF8-2B85D4109230} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1C1EE1EF-0F6A-4182-AFF8-2B85D4109230} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {E07FC3F9-38C7-4CB9-8378-CCA78975A69B} (BITSoundRecorder.bitsndrec) - file://F:\crc\redist\bitsndrec.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{10C273BD-863B-4E14-989C-96FB67B3375B}: NameServer = 141.1.1.1,192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FB19744-743F-4EE4-A8FB-F466FDC6E96F}: NameServer = 192.168.18.81
O17 - HKLM\System\CS1\Services\Tcpip\..\{10C273BD-863B-4E14-989C-96FB67B3375B}: NameServer = 141.1.1.1,192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{10C273BD-863B-4E14-989C-96FB67B3375B}: NameServer = 141.1.1.1,192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{10C273BD-863B-4E14-989C-96FB67B3375B}: NameServer = 141.1.1.1,192.168.1.1
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


christian4u2
Hallo, dein Log scheint bis auf ein mir unbekannter Eintrag und ein paar extrabuttons im IE von Antispy recht sauber zu sein.


O4 - HKCU\..\Run: [Lock Folder XP] C:\Programme\Everstrike Software\Lock Folder XP 3.5\LF30.exe
Damit weiß ich nichts anzufangen. Habe mal der LF30.exe gegoogelt aber nur fremdsprachige Ergebnisse erhalten. Scheint also ein Programm zu sein was sehr selten in deutschsprachigen LOG´s vorkommt und mir somit von Grunde auf unsympatisch. Weißt Du worum es sich dabei dreht??

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1C1EE1EF-0F6A-4182-AFF8-2B85D4109230} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1C1EE1EF-0F6A-4182-AFF8-2B85D4109230} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
Die zwei Einträge würde ich fixen, es sei den du möchtest XP-Antispy unterstützen und brauchst dafür einen Extra-Einladungs-Button wink.gif

Für deine beschädigten Exe-files sehe ich nicht viel Hofffnung....kann mir nicht vorstellen ob dir noch reparabel sind. Zu dem Wurm finde ich auf die schnelle im Netz keine Reparaturvorschläge sad.gif
Wieviele Progs sind denn beschädigt?
Grüße Chris
christian4u2
Bei Kaspersky heißt das Teil Tenga smile.gif
Kannst mal hier reinschauen:

http://www.viruslist.com/en/viruses/encycl...a?virusid=88153
theonly
QUOTE(xyCruiseryx @ 19.09.2005, 12:50)
Kann mir einer sagen was ich noch machen kann ??? Oder is alles im Arsch und ich kanns deleten ????
[right][snapback]110280[/snapback][/right]

Sieht ganz danach aus, dass die Recovery-Funktion des AV-Programms die EXE-Dateien zu stark beschädigt hat. Das Problem bei den Setups ist, dass sie einen Cyclic Redundancy Check (CRC) beim Start durchführen, um die eigene Integrität zu überprüfen.
Wenn der Test fehlschlägt, kann man die Software meistens nicht mehr installieren.
Wie NSIS das genau regelt, weiß ich nicht. Allerdings gehe ich mal davon aus, dass die Setups jetzt Schrott sind.
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2019 Invision Power Services, Inc.