HILFE ! Virus vermutlich Virut.

Ich habe mir gestern offensichtlich einen Virus eingefangen.
Im Hijack-This Logfile fan ich verschiedene Einträge, wie:
reader_s.exe, ThunMail, sopidkc.exe oder tpszxyd.sys.

(Bei Bedarf poste ich auch das Logfile).
Alle Dateien und Einträge, die die Online-Auswertung von Hijack-This als gefährlich ausgegeben hat, habe ich natürlich sofort gelöscht.
Anscheinend hat der Virus in Windeseile etliche hundet .exe-Dateien infiziert.
Ich weiß nicht exakt welcher oder ob es EIN Virus ist. McAfee Online-Scanner sagt es wäre ein:
Virut.n.gen. Andere Virenscanner melden nur Trojaner. Aber anscheinend wird nur ein ganz kleiner Bruchteil der verseuchten Dateien gefunden.

Funktionieren tut fast gar nichts mehr. Nicht eine Anwendung lässt sich noch starten. (Stürzen alle ab).
Nur wenige Sachen gehen noch. Jede infizierte exe-Datei verseucht weitere exe-Dateien.

Ich MUSS irgendwie den Virus wegbekommen, ohne alles zu formatieren. Habe kein aktuelles Backup/ Image oder so. Ich brauche die Daten mega DRINGEND !

Wenn alle infizierten Dateien gelöscht wären, wäre das nicht das Problem. Die könnte ich mit einem alten Backup oder ähnlichem größtenteils wiederherstellen. Es dürfen aber keine Spuren von dem Virus zurückbleiben. Daher bräuchte ich einen zuverlässigen Scanner. Disinfizieren scheint nicht zu gehen, da der Virus die Original-Datei überschreibt. Also bleibt nur löschen.

Oder gibt es eine andere Möglichkeit auf physikalischer Ebene die Daten wieder so herzustellen, wie sie vor dem Überschreiben des Viruses (also gestern mittag) waren ?

Bin für jede zielführende Antwort dankbar.

 

Denn man zu!

 

http://www.hijackthis-forum.de/268997-post2.html

 

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:51:03, on 12.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\3361\SVCHOST.exe
C:\Programme\EPSON\eEBSVC.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
G:\NORTON CRASHGUARD\CGMenu.EXE
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\system32\cisvc.exe
D:\AMI Motherboard-Monitor\MBM5.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\dhcp\svchost.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RunDLL32.exe
D:\TuneUp 2006\MemOptimizer.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\InstallShield Shared\Service\InstallShield Licensing Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\Programme\EPSON\Stms.exe
D:\ICON-SAVER\ICONSAVER.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Office 97\Office\Osa.exe
c:\programme\norton systemworks premier\Norton Utilities\NPROTECT.EXE
C:\Programme\Quick View Plus\Program\qvp32.exe
C:\WINDOWS\tinyresmeter096a.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\sopidkc.exe
c:\programme\norton systemworks premier\Speed Disk\nopdb.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TeamViewer\Version4\TeamViewer_Service.exe
C:\Programme\Drive Image 7\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\system32\14.tmp
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Virkill\ClamWin\bin\ClamWin.exe
D:\VIRKILL\ClamWin\bin\clamscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\TEMP\BN16.tmp
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Tools\HiJack-This\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;nexgo.d;<local>
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat Reader 7\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\WEB-DOWNLOADER\FREE DOWNLOAD MANAGER\IEFDM2.DLL
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: SpeedBit Video Downloader - {0329E7D6-6F54-462D-93F6-F5C3118BADF2} - E:\Web-Downloader\SpeedBit Video Downloader\Toolbar\SpeedBitVideoDownloader.dll
O3 - Toolbar: SpeedBit - {EBFCD017-BCAD-42C3-9ED5-89DBDFC59171} - C:\Programme\SpeedBit Toolbar\Toolbar\SpeedBit.dll
O4 - HKLM\..\Run: [Norton CrashGuard Monitor] "G:\NORTON CRASHGUARD\CGMenu.EXE"
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MBM 5] "D:\AMI Motherboard-Monitor\MBM5.EXE"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] e:\*******\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKLM\..\Run: [InCD] D:\Nero\InCD\InCD\InCD.exe
O4 - HKLM\..\Run: [svchost.exe] "C:\WINDOWS\system32\3361\SVCHOST.exe"
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\TuneUp 2006\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [svc] c:\program Files\ThunMail\testabd.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\system32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [svc] c:\program Files\ThunMail\testabd.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\system32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\Registry-Saver\AUTOBACK.EXE
O4 - Global Startup: Bluetooth (USB) - Tray-Anzeige.lnk = ?
O4 - Global Startup: EPSON Status Monitor 2 (Background).lnk = C:\Programme\EPSON\Stms.exe
O4 - Global Startup: Icon-Saver.lnk = D:\ICON-SAVER\ICONSAVER.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office 97\Office\OSA.EXE
O4 - Global Startup: QuickMix 1.05 (Auto. Laden der Audio-Mixer-Einstellungen).lnk = D:\QuickMix\QuickMix.exe
O4 - Global Startup: QuickView Plus (Vers. 10.0.0) [View a File...].lnk = C:\Programme\Quick View Plus\Program\qvp32.exe
O4 - Global Startup: Ressourcen-Anzeige (TinyResMeter).lnk = C:\WINDOWS\tinyresmeter096a.exe
O4 - Global Startup: Shockwave Init.lnk = C:\WINDOWS\SYSTEM\MACROMED\shockwave\swinit.exe
O4 - Global Startup: Wahlhilfe.lnk = C:\Programme\windows nt\DIALER.EXE
O4 - Global Startup: Wave-Rekorder (zeitgesteuerte MP3-Aufnahme).lnk = C:\SOUND\Wave-Recorder\WaveRec.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe Acrobat Reader 7\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file://E:\Web-Downloader\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://E:\Web-Downloader\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://E:\Web-Downloader\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://E:\Web-Downloader\Free Download Manager\dlfvideo.htm
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\Internet Explorer\PLUGINS\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\Internet Explorer\PLUGINS\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\Internet Explorer\PLUGINS\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\Internet Explorer\PLUGINS\IEPro\iepro.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - D:\Paltalk\Paltalk.exe
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks Premier\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks Premier\Norton Cleanup\WCQuick.lnk
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: BINGOOO - {E6A25EC0-52B4-11D6-9D17-00001C011571} - E:\D-INFO\BINGOOO\BINGOOO.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O13 - WWW. Prefix: http://
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236335111093
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JS...6/&filename=jinstall-6u13-windows-i586-jc.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: C:\PROGRAMM\Google\GOOGLE~3\GOEC62~1.DLL,c:\progra~1\ThunMail\testabd.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Dhcp server (DhcpSrv) - Unknown owner - C:\WINDOWS\dhcp\svchost.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\EPSON\eEBSVC.exe
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software International - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Nero\InCD\InCD\InCDsrv.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Programme\Gemeinsame Dateien\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRAMM\Symantec\LIVEUPDA\LUCOMS~1.EXE (file missing)
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - c:\programme\norton systemworks premier\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: sopidkc Service (sopidkc) - Twain Working Grou - C:\WINDOWS\system32\sopidkc.exe
O23 - Service: Speed Disk service - Symantec Corporation - c:\programme\norton systemworks premier\Speed Disk\nopdb.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRAMM\GEMEINSA\SYMANTEC\CCPD-LC\symlcsvc.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Programme\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\Drive Image 7\Agent\PQV2iSvc.exe

Die bösartigen Einträge (unbekannte Einträge) habe ich entfernt.

 

dann setz dein System neu auf- ohne Umwege- mit halben Logs kann man ja soooooooooviel anfangen

 

Und beim Neuaufsetzen dann auch gleich mal ServicePack 3 installieren und Java aktualisieren (ist auch schon uralt)!

 

OH, Mann ! Nachdem ich mir den Thread 5 oder 6 oder 7 mal durchgelesen habe, weiß ich jetzt endlich was Du mit "halben Logs" meinst ! :
Natürlich ist das Logfile KOMPLETT !!!!!!

Ich meinte, ich habe nach der Auswertung von Hijackthis.de (Online) die bösartigen Dateien umgehend von meinem PC gelöscht, sowie andere Fehler (fehlende Dateien) GEFIXT !