Win32.Polipos - Removal

[Ruby]

Hallo Leute,

wenn wir helfen können, tun wir das

Allerdings fehlt uns allen die Gabe von hier aus, hinter unseren Monitoren in eure Systeme zu gucken und ohne alle Angaben erkennen zu können, was sich auf euren System abspielt. Ihr könnt nun zwar schreiben, dass ihr den Win32.Polipos auf dem System habt, aber was habt ihr sonst noch drauf? Wir möchten gerne eure HJT-Logfiles sehen. Wir brauchen dann noch mehr Angaben. Trockenhilfe, ohne Hintergrund-Information, kann niemand geben.

Ihr könnt alle Dr.Web CureIt! laut Anleitung laufen lassen. Ob damit alle Malware auf euren Systemen entfernt ist, bleibt dahin gestellt. Das können wir ohne HJT-Logfiles und weitere Einsichtmöglichkeiten nicht erkennen. Die berühmte Glaskugel mit dem Tiefenblick in andere Systeme fehlt

führe HijackThis entsprechend dieser Anleitung aus.

Tipp: Lässt sich bedingt durch eine aktive Malware die HijackThis.exe nicht starten, bitte einfach letztgenannte z.B. in pruefung.com umbenennen und dann ausführen. -- Wichtig hierbei: Die Dateiendung "exe" muss durch "com" ersetzt werden!

Erstelle ein HijackThis Logfile und poste es im Forum für HijackThis Logfiles.

[yphysics]

Tach zusammen, mich hat es auch erwischt (am 21.04.2006) (der Virus war an einem EXCEL-file und mein F-SECURE hat nichts bemerkt!!!). Naja, jedenfalls haben sich die icons auf dem Desktop verändert (die .exe Dateien werden in .0xe umgewandelt). Das ging soweit, dass nach etlichen Neustarts sogar die windows-produktanmeldung feststellte, dass ich mich erst registrieren müsste ... ECHT WAHNSINN!!! Jedenfalls habe ich im abgesicherten Modus den Dr.Web Virenscanner laufen lassen (bis auf 5 Ausnahmen konnten die anderen 273 infizierten Programme desinfiziert werden). Ich hoffe, bis heute abend bin ich fertig.

[Tammy]

Tach zusammen, mich hat es auch erwischt (am 21.04.2006) (der Virus war an einem EXCEL-file und mein F-SECURE hat nichts bemerkt!!!). Naja, jedenfalls haben sich die icons auf dem Desktop verändert (die .exe Dateien werden in .0xe umgewandelt). Das ging soweit, dass nach etlichen Neustarts sogar die windows-produktanmeldung feststellte, dass ich mich erst registrieren müsste ... ECHT WAHNSINN!!! Jedenfalls habe ich im abgesicherten Modus den Dr.Web Virenscanner laufen lassen (bis auf 5 Ausnahmen konnten die anderen 273 infizierten Programme desinfiziert werden). Ich hoffe, bis heute abend bin ich fertig.

.....und?
Fertig geworden?

T.

[Claudia972]

Hallo Claudia

melde dich bitte mit einem HijackThis Logfile laut Anleitung bei uns am Forum für HijackThis Logfiles.

Ich habe mich jetzt angemeldet. Scheinbar habe ich schon gröbere Probleme, da, wenn ich auf die Links, die du in die Antwort geschrieben hast, klicke keinerlei Reaktion bekomme. Ich bitte dringend um Hilfe!
MfG
Claudia

[Ruby]

Hallo Claudia

klicke bitte auf diesen Link, geht es nun?

Wenn es nicht funktioniert, bitte auf einen sicheren Browser umsteigen.

Melde dich bitte wieder.

[Claudia972]

Hallo!

Erst einmal vielen Dank für deine Hilfe!
Ich kann auf beide Links, die du mir geschrieben hast nicht zugreifen, es tut sich gar nichts. ICh habe auch versucht aus dem Internet andere browser herunterzuladen. Das Download funktioniert normal und bei 100 % kommt die Meldung "Firefox kann nicht kopiert werden, der Zugriff wurde verweigert"

MfG
Claudia

[Ruby]

Hallo Claudia,

kannst du Dr.Web CureIt auf ein Wechselmedium herunterladen oder auf einen anderen Rechner, um es dann mittels DVD/CD auf deinen Rechner zu übertragen und diesen im abgesicherten Modus damit zuscannen? Hast du das bereits versucht?

[Claudia972]

Hallo!

Mich hat mittlerweile der Support meines Antivirenprogrammes kontaktiert. Das Virus war bei mir zum Glück nur ein Fehlalarm aufgrund der nicht mehr aktuellen Version von Ikarus. Wenn man die Überwachung des Programmes beendet, kann man auch alle Remover bzw.anderen Programme problemlos herunterladen. Mit dem Update von Ikarus waren alle Viren weg.

Vielen Dank für die Hilfe!

MfG
Claudia

[Sven]

Hallo Sven.

Für diese Fehlermeldung können laut Microsoft Supportseite 2 Probleme verantwortlich sein.

• Virus im MBR (Bootsektor)
• Falscher, defekter oder fehlender Treiber

Wie du schon bemerkt hast, könnte ein Virus dafür Verantwortlich sein. Aber da du geschrieben hast das du den Computer neu aufgesetzt hast, ist diese wahrscheinlichkeit eher gering.
Natürlich könnte sich ein Virus in deinen Daten versteckt halten die du vorher sicherlich gesichert hast (Eigene Dateien oder dergleichen).

Für wahrscheinlicher halte ich aber einen defekten oder fehlender Treiber.

Du könntest versuchen einzelen Komponenten aus deinem System zu entfernen und schauen ob diese Fehlermeldung dann noch immer auftaucht. (z.B. wenn zwei RAM Riegel vorhanden, einen herausnhemen...)
Das ist die einzige Möglichkeit wie du herausfinden kannst, welche Hardware (oder deren Treiber) dir Probleme bereitet!

Danke für Eure Mithilfe!
Es lag wie gesagt am Festplattencontroller und an einer falsch konfigurierten Festplatte in meinem Rechner. Nach ordentlicher installation und aufspielen von Windows XP läuft alles wieder stabil! Die Viren auf den Festplatten wurden wie gesagt mit Dr.Web Scanner erfolgreich entfernt. Hab sicherheitshalber die Platten nochmals durch gescheckt und alles scheint sauber zu seint. Erst mal vielen Dank für eure Mithilfe, werde die Sache mit dem Virus aber weiter im Auge behalten.

[HF3221]

Hallo Leute!

Ich bin durch Google auf diesen Thread gestoßen und hoffe nun, dass Ihr mir vielleicht helfen könnt!

Da ich die gleichen Anzeichen habe, wie sie hier im Thread auch angesprochen werden, also Dateien lassen sich nicht meher herunterladen, *exe-Dateien lassen sich zum Teil nicht mehr ausführen, AV-Updates (Avira, ZoneAlarm) werden nicht mehr ausgeführt, nehme ich mal an, dass ich vom selben Virus befallen bin.

Nun habe ich mir "Cureit" runtergeladen und inzwischen drei mal scannen lassen, jedoch wurde nur ein File gefunden "A0006171.ini", welches unter F:\System Volume Information\ ("möglicherwerise IRC-Virus" steht dort) zu finden ist. habe es jetzt gelöscht, aber die Probleme bestehen weiterhin, nehme mal an, dass der Herd noch nicht ausfindig gemacht wurde. Zuvor war es auch schonmal eine Datei die ähnlich hier, also A00004... usw. habe es dann auch gelöscht, aber gleiches Ergebnis.

Mit HJT habe ich scannen lassen und nichts auffälliges entdecken können, bis auf den IP-Eintrag, den ich dann auch gefixed habe. Das Lustige ist, dass ich gestern das System neu aufgesetzt habe und soweit alles prima lief, bis ich dann meine SATA-Platte angeklemmt habe, auf der meine Sicherungen waren, von daher gehe ich mal aus, dass der Hund dort begraben liegt. Da aber Avira nichts finden konnte, und es ja anscheind eh nicht schafft, bin ich ziemlich ratlos, da Cureit auch nichts weiter ausspuckt.

Ich werde jetzt den Rechner neu starten und nochmals HJT scannen lassen, danach poste ich das Logfile hier.

Stefan

EDIT
Logfile of HijackThis v1.99.1
Scan saved at 14:31:30, on 16.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\DrWeb\SpiderNT.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\DrWeb\DRWEBSCD.EXE
C:\PROGRA~1\DrWeb\spidernt.exe
C:\Programme\DrWeb\spiderml.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Radeon Omega Drivers\v3.8.252\ATI Tray Tools\atitray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\HF3221\LOKALE~1\Temp\Rar$EX00.250\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [DrWebScheduler] "C:\Programme\DrWeb\DRWEBSCD.EXE"
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [SpIDerMail] "C:\Programme\DrWeb\spiderml.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Radeon Omega Drivers\v3.8.252\ATI Tray Tools\atitray.exe"
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFB60B52-25EC-4F72-8DD4-D628E48DBE39}: NameServer = 213.191.74.19 213.191.92.87
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe