Infected by Parity.1?

**ken545** · 2010-01-05, 17:40

Hi,

Lets see what this finds and if nothing I will have one of our other helpers look at your logs as I may be missing something since most of it is in a different language.

Please run this free online virus scanner from ESET

Note: You will need to use Internet explorer for this scan
Tick the box next to YES, I accept the Terms of Use.
Click Start
When asked, allow the activex control to install
Click Start
Make sure that the option Remove found threats is ticked, and the option Scan unwanted applications is checked
Click Scan
Wait for the scan to finish
Use notepad to open the logfile located at C:\Program Files\EsetOnlineScanner\log.txt
Copy and paste that log as a reply to this topic

**stine1** · 2010-01-05, 20:10

Hi, this is the log. My Computer is German ;-)

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=7.00.5730.13 (longhorn(wmbla).070711-1130)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=f29f273aed807d4784b3085b74fe2c33
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-01-05 06:45:55
# local_time=2010-01-05 07:45:55 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=9
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 15065714 15065714 0 0
# compatibility_mode=1797 16775125 100 100 4485 62206506 8819 0
# compatibility_mode=8192 67108863 100 0 3711 3711 0 0
# scanned=41373
# found=0
# cleaned=0
# scan_time=2512

**ken545** · 2010-01-05, 21:27

All the logs are coming back clean. What exactly is coming back ?

**ken545** · 2010-01-05, 23:22

Do you have your Windows XP CD ??

**ken545** · 2010-01-06, 02:06

Run a full scan with Avira and when its done, under the reports section, copy and past the log into this thread

**stine1** · 2010-01-08, 18:46

hi, this is the full report:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 8. Januar 2010 17:08

Es wird nach 1508687 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : STINE

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 16:23:31
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 16:23:31
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 16:23:31
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 16:23:31
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 16:23:31
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 16:23:31
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 16:23:31
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 16:23:31
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 16:23:32
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 16:23:32
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 16:23:32
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 16:23:32
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 16:23:32
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 16:23:33
VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 16:23:33
VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 16:23:34
VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 16:23:34
VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 16:23:35
VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 16:23:35
VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 16:50:34
VBASE021.VDF : 7.10.2.131 201216 Bytes 07.01.2010 06:30:16
VBASE022.VDF : 7.10.2.132 2048 Bytes 07.01.2010 06:30:16
VBASE023.VDF : 7.10.2.133 2048 Bytes 07.01.2010 06:30:16
VBASE024.VDF : 7.10.2.134 2048 Bytes 07.01.2010 06:30:16
VBASE025.VDF : 7.10.2.135 2048 Bytes 07.01.2010 06:30:16
VBASE026.VDF : 7.10.2.136 2048 Bytes 07.01.2010 06:30:16
VBASE027.VDF : 7.10.2.137 2048 Bytes 07.01.2010 06:30:17
VBASE028.VDF : 7.10.2.138 2048 Bytes 07.01.2010 06:30:17
VBASE029.VDF : 7.10.2.139 2048 Bytes 07.01.2010 06:30:17
VBASE030.VDF : 7.10.2.140 2048 Bytes 07.01.2010 06:30:17
VBASE031.VDF : 7.10.2.144 98816 Bytes 07.01.2010 06:30:17
Engineversion : 8.2.1.130
AEVDF.DLL : 8.1.1.2 106867 Bytes 08.11.2009 06:38:52
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 05.01.2010 14:36:39
AESCN.DLL : 8.1.3.0 127348 Bytes 27.12.2009 16:23:41
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 27.12.2009 16:23:41
AEPACK.DLL : 8.2.0.4 422263 Bytes 05.01.2010 14:32:32
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.192 2195833 Bytes 05.01.2010 14:32:31
AEHELP.DLL : 8.1.9.0 237943 Bytes 27.12.2009 16:23:38
AEGEN.DLL : 8.1.1.83 369014 Bytes 05.01.2010 14:25:27
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 27.12.2009 16:23:37
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 8. Januar 2010 17:08

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '35036' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'j-point.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '22' Prozesse mit '22' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Code des Parity.1-Virus
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[FUND] Enthält Code des Parity.1-Virus
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '45' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'H:\' <Volume>

Ende des Suchlaufs: Freitag, 8. Januar 2010 17:33
Benötigte Zeit: 25:06 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3651 Verzeichnisse wurden überprüft
200974 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
200973 Dateien ohne Befall
2516 Archive wurden durchsucht
2 Warnungen
2 Hinweise
35036 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

**ken545** · 2010-01-08, 19:18

Your masterboot record is infected, to fix this we need to boot to the Recovery Console and to do that you need your Windows XP disk

**stine1** · 2010-01-09, 08:37

ok, I have the CD - do I need to boot from it?
Sorry for not answering for so long, I broke my arm :(

**ken545** · 2010-01-09, 12:07

Wow, thats has to hurt :(

Hang in a bit as I am still waiting for one of our helpers who speaks German, I am trying to determine if its just a removable drive infected or your main drive.

When you go to My Computer, what is your H drive

**stine1** · 2010-01-09, 15:17

I have 2 HDDs: One is C: and D: and the 2nd one is H: :-(

Thread: Infected by Parity.1?

Thread Tools

Display

Posting Permissions