Ich bin infiziert worden durch den W32/B, was nun?

Das ist schrecklich gestern habe ich nocht mir F-Prot Antivirus
meine platte prüfen lassen, da fand er dann eine datei, eine exe datei und sagte das es ein virus sei unzwar der W32/B
wie er ihn nannte( zwischen dem W32/ und B war ncoh was anderes zu lesen das ich jetzt nicht mehr weiß denn das programm lässt sich jetzt nicht mehr starten, es kommt ein fehler das es modifiziert sei und infiziert durch ein wurm, darauf hin wollte ich meine daten sichern mir nero 5 aber genau das gleiche es soll ein virus sein.
so jetzt habe ich antivir personal ediditon 6.21 installiert, es hat dann einen scan gemacht 192 datein wären infiziert, dann nach dem neustart als ich dann auf dem desktop war schaltete s sich um und sagte virus eintdeckt(also der hintergrund war rot)
dann stand da glaub ich "was soll mit der datei geschen"
zur auswahl: löschen, reparieren, unbenennen, verschieben
doch wenn cih dann eins genommen hab bekm ich einen bluescreen, das jedes mal, habe auch schon jede variante ausprobiert, deswegen habe ich oder musste ich es im abgesicherten modus deinstalieren.
was soll ich jett machen, ich glaube da ist auch die ursache hierfür:
siehe hier:http://forum.pcwelt.de/showthread.php?s=&threadid=97195

was muss ich jetzt machen?

chacky

 

hast recht !
hab gestern das system neu aufgesetzt.
werden auch exe files, die in einem zip file gepackt sind auch befallen.

 

http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=47724&VName=PE_PARITE.B

Der Parite"B" scheint irgendwie mit der "A"-Version zusammenzuhängen
http://securityresponse.symantec.com/avcenter/venc/data/w32.pinfi.html

 

PE-Dateien:
portable executable, also praktisch jegliche ausführbaren Dateien unter Windows

SCR-Dateien:
Screensaver, aber auch das sind eigentlich EXE-Dateien

Und nochmal: Alle ausführbaren Dateien sind betroffen. Dein System ist im Eimer.
Neuaufsetzen nach Anleitung der AV-Hersteller.

 

schon aber was sind PE- und SCR-Dateien ?
und kann ich die eine datei im temp ordner nicht löschen.
hab vom dos probiert aber es hat sich unter einem anderen namen wieder hergestellt, nachdem ich windows gestartet habe, das ich doch der virus oder ?

 

Was genau hast du an

Wenn W32/Parite-B ausgeführt wurde, verbleibt er im Speicher und infiziert alle PE- und SCR-Dateien auf jedem Laufwerk und auf jeder Netzwerkfreigabe.

nicht verstanden?

 

hab den selben misst !
gib es keine andere möglichkleit den virus zu "vertreiben" ?
das antvirenprogramm Anti Vir hat bei mir bei jeder *.exe datei soeinen virus gemeldet.
hab auch win me.

 

danke fü

danker die posts aber ich habe so gestern foramtiert

chacky

 

Hier noch mal der Link in deutsch:
http://www.sophos.de/virusinfo/analyses/w32pariteb.html

Am besten deaktivierst du die Systemwiederherstellung, startest dann den Rechner im abgesicherten Modus und versuchst es noch mal mit deinem Virenscanner. Mehr dazu z.B. hier:
http://www.sophos.de/support/faqs/pedis.html

Nur zur Info: Deine Signaturendateien von F-Prot sind schon ziemlich alt. Auch wenn der Virus, den du im Moment hast, schon von 2001 ist, solltest du dir mal hier die aktuellsten runterladen:

http://www.f-prot.com/products/currentversions.html

Einmal die für "Application/Script viruses and Trojans" und die für "Document/Office/Macro viruses".

Mfg Manni

 

das würde ich lassen ,es sei denn Du legst Wert darauf,das Du Dir dein System selbst infizieren kannst

 

formatieren mach ich dann am wochenende, aber vorher will cih ncoh daten auf cd brennen aber nero ist ja infiziert.
bringt es was wenn ich jetzt ein neues brenn proggi aufspiel und oder wird das sofort infiziert?

 

Wie die Systemwiederherstellung deaktiviert wird, steht in der Windows-Hilfe.
Ansonsten: Mein erster Rat gilt nach wie vor.

 

wie deaktiviere ich es, aber wie soll ich die dann löshen mit dem virenscanner,dass geht nicht mehr da es selber nicht mehr funzt
oder manuell.
noch was, in dem normalen ordner TEMP, kann ich eine datei nicht löschen, die die virenscanner auch nicht löschen konnten
sie heißt

rid42D2.TMP

ne ahnung was das ist?

 

Ja sicher ist das RAM gemeint.
Zu deinem C:\_RESTORE....
Das ist der Ordner für die Systemwiederherstellung, der durch Windows geschützt ist, weswegen dort nichts gelöscht werden kann, solange die Wiederherstellung aktiv ist. Also deaktivieren bzw. Systemwiederherstellungspunkte löschen, was aufs selbe herauskommt.

Mein erster Rat gilt übrigens nach wie vor.

 

Once W32/Parite-B has been executed it will remain in memory, infecting every PE and SCR file on every drive and network share.
The main viral code will be dropped to a randomly named TMP file in the Windows temp directory. The file is 172Kb in size.

das ist e glaub ich wieso meine programme schließen, siehe oben url.
viele in dem forum haben ja gesagt es leigt an dem speicher, und dieser englische text, "has been executed it will remain in memory" meint es damit den ram?

 

diesen report konnte ich noch rausfischen:

F-PROT ANTIVIRUS
Program version: 3.14
Engine version: 3.13.2

VIRUS SIGNATURE FILES
MACRO.DEF created 7/7/2003
SIGN.DEF created 7/4/2003
SIGN2.DEF created 7/4/2003

StartTime: 11.02.2003 14:55

Scan settings:

Path to scan:
<Hard drive> C:
Which files:
All files (Ignore extensions).
Not inside archives.
Not inside compressed executables
Scan inside subfolders.

Action if malware is found:
Disinfect.
(confirm action)How to scan:
Use heuristics (always in normal mode).

C:\_RESTORE\TEMP\A0047692.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0047693.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0047694.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0047695.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0047696.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0047697.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0047698.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0047699.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0047704.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0047705.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0047706.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0047707.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0047708.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0048726.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\_RESTORE\TEMP\A0048727.CPY Infection: W32/Parite.B
Unable to remove the virus.
Could not delete the file.
C:\WINDOWS\SYSTEM\AWFXEX32.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\CLICONFG.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\CMDL32.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\CMMGR32.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\CMMON32.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\CMSTP.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\DLLHOST.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\FONTREG.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\ICSMGR.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\ICWSCRPT.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\IE4UINIT.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\IESHWIZ.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\INTERNAT.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\LIGHTS.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\LOADWC.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\MSHTA.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\ODBCAD32.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\ODBCCONF.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\PSTORES.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\REDIR32.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\RPCSS.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\CFGWIZ32.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\msiexec.exe Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\CMDNINST.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\DPVHELP.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\LOCPROXY.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\LOCPRXY2.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\LOGAGENT.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\MKCOMPAT.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\MSCONFIG.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\MSTASK.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\MSTINIT.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\PRINTIMG.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\REGENV32.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\REGWIZ.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\RNAAPP.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\RSVP.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\RUNONCE.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\SAGE.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\SPOOL32.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\STIMON.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\SYSTEM\SUCATREG.EXE Infection: W32/Parite.B
Disinfected.
C:\WINDOWS\TEMP\rid42D2.TMP Infection: W32/Parite.B
Unable to remove the virus.


vieleicht hilft das ja.


chacky

 

Wahrscheinlich war der W32/Parite.B gemeint.

http://www.sophos.com/virusinfo/analyses/w32pariteb.html
http://fr.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=137

Mfg Manni

 

âlso in klaren worten soll ich formatieren oder wie, gibst denn keine andere möglichkeit?

also ich bin mir nicht sicher aber das war glaub ich W32/partie B
oder so, vieleicht wisst ihr ja was es für viren mit W32 aht, vieleicht url posten.

chacky

 

Und genau das war das entscheidende, nämlich der Name. W32 heißt lediglich, dass der Schädling auf 32-bit-Windowskisten läuft. Und das tun die meisten.

Zu spät, deucht mir...auf einem infizierten System ist auch der Virenscanner betroffen und nicht mehr vertrauenswürdig.

Eigentlich am sichersten: System komplett neu aufsetzen, da der Verursacher nicht bekannt ist und du auch nicht garantieren kannst, dass nach seiner Identifizierung und "scheinbaren" Entfernung nicht Reste verblieben sind oder zusätzliche Malware installiert wurde, die der Scanner übersehen hat.

 

Hallo Chacky

Die von Steele vorgeschlagene Vorgehensweise ist die beste, auch wenn's hart klingt, da du den Verursacher der Infektion nicht kennst.

Wenn du dann dein System neu aufgesetzt hast, dann besorg dir ein gutes Anti-Viren-Programm, z. B. Kaspersky-AntiVirus (KAV). Anschließend installierst du deine anderen Programm neu.

Gruß
Patrick