Trojan.Vundo.DVS bekämpfen und vernichten!

mietzetatze · 08.01.2008, 21:13

Hallo Forumleser, das erste Mal ist mir so eine Nervensäge auf den Rechner gekommen, weiß zwar nicht wie, aber wichtig ist das man das wegbekommt.

Mich nervt der Trojaner Vundo.DVS

~~~VundoFix-->brachte gar nichts...
-----------------------------------------------------------
~~~BitDefender-->erkennt nur infizierte Files aber nicht die Ursache->Folge->AV-Programm wird zum Spambot
-----------------------------------------------------------
~~~Ad-Aware 2007(updatet)-->brachte gar nichts...
-----------------------------------------------------------
~~~SpyBot S&D-->brachte gar nichts...

Hier meine Logs:

~~~ComboFix~~~

Zitat:

The following files were disabled during the run:
C:\WINDOWS\system32\sockspy.dll

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\rtutv.ini
C:\WINDOWS\system32\rtutv.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-08 bis 2008-01-08 ))))))))))))))))))))))))))))))
.

2008-01-08 17:59 . 2008-01-08 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-08 17:48 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-07 22:52 . 2008-01-07 23:21 <DIR> d-------- C:\VundoFix Backups
2008-01-07 21:37 . 2008-01-07 21:37 124,100 --a------ C:\WINDOWS\system32\system32.rar
2008-01-01 18:48 . 2001-01-04 12:22 135,168 --a------ C:\WINDOWS\system32\txtuser.exe
2008-01-01 18:48 . 2000-07-24 15:33 61,440 --a------ C:\WINDOWS\system32\lookmod.dll
2008-01-01 18:48 . 2000-07-24 15:35 45,056 --a------ C:\WINDOWS\system32\patchmod.dll
2008-01-01 18:48 . 2000-07-24 15:29 45,056 --a------ C:\WINDOWS\system32\hookmod.dll
2008-01-01 18:47 . 2008-01-01 18:47 <DIR> d-------- C:\WINDOWS\Profiles
2008-01-01 18:47 . 1998-08-19 08:58 641,024 --a------ C:\WINDOWS\system32\Ipx32_53.dll
2008-01-01 18:47 . 1996-02-27 12:03 448,000 --a------ C:\WINDOWS\system32\mm32dcmp.dll
2008-01-01 18:47 . 1998-02-10 17:34 103,024 --a------ C:\WINDOWS\Unwise.exe
2008-01-01 18:47 . 1998-02-18 08:55 42,421 --a------ C:\WINDOWS\system32\picn1113.ssm
2008-01-01 18:47 . 1998-02-18 08:55 42,181 --a------ C:\WINDOWS\system32\picn1313.ssm
2008-01-01 18:47 . 1998-02-18 08:55 22,016 --a------ C:\WINDOWS\system32\picn13.dll
2007-12-31 16:22 . 2008-01-01 00:42 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Winamp
2007-12-29 17:02 . 2007-12-29 17:02 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\InterVideo
2007-12-29 16:52 . 2007-12-29 16:52 <DIR> d-------- C:\Programme\InterVideo Information Service
2007-12-29 16:52 . 2007-12-29 16:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ulead
2007-12-29 16:52 . 2006-05-11 18:41 654 --------- C:\WINDOWS\remove.iss
2007-12-29 16:51 . 2007-12-29 16:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-12-29 16:48 . 2007-12-29 16:48 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-12-29 16:45 . 2006-09-06 17:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-12-28 20:59 . 2007-12-28 21:12 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Bioshock
2007-12-28 20:51 . 2007-12-28 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Bitdefender
2007-12-28 20:50 . 2007-12-28 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender
2007-12-28 20:19 . 2007-12-28 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen
2007-12-28 19:41 . 2008-01-08 20:44 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2007-12-28 19:40 . 2007-12-28 20:31 <DIR> d-------- C:\Programme\BitDefender
2007-12-28 19:38 . 2007-12-28 20:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BitDefender
2007-12-28 17:17 . 2007-12-28 20:31 121 --a------ C:\WINDOWS\bdagent.INI
2007-12-28 14:40 . 2007-12-28 14:40 1,210 --a------ C:\WINDOWS\mozver.dat
2007-12-28 13:03 . 2007-12-28 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Talkback
2007-12-28 13:03 . 2007-12-28 13:03 0 --a------ C:\WINDOWS\nsreg.dat
2007-12-27 23:11 . 2007-12-27 23:11 314,752 --a------ C:\WINDOWS\system32\vtutr.dll
2007-12-27 23:03 . 2007-12-27 23:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-27 21:58 . 2007-12-27 22:15 320 --ahs---- C:\WINDOWS\system32\gjkmp.ini
2007-12-26 09:40 . 2007-12-27 21:38 320 --ahs---- C:\WINDOWS\system32\mnnmp.ini
2007-12-26 00:05 . 2007-12-26 00:05 24,304 --------- C:\WINDOWS\system32\yaywvtt.dll
2007-12-25 15:57 . 2006-07-01 23:30 43,520 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys
2007-12-25 15:57 . 2006-06-27 14:24 31,744 --a------ C:\WINDOWS\system32\drivers\AmdTools.sys
2007-12-25 15:56 . 2008-01-08 17:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-24 18:14 . 2007-12-25 15:57 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-12-24 18:14 . 2007-12-25 15:57 <DIR> d-------- C:\Programme\DIFX
2007-12-24 18:14 . 2007-06-29 16:44 73,728 --a------ C:\WINDOWS\system32\diamondback.cpl
2007-12-24 18:14 . 2005-04-24 22:43 13,225 --a------ C:\WINDOWS\system32\drivers\DB3G.sys
2007-12-24 18:05 . 2007-12-24 18:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Borland Shared
2007-12-21 23:55 . 2007-12-21 23:55 <DIR> d--h----- C:\WINDOWS\PIF
2007-12-15 22:20 . 2007-12-15 22:20 <DIR> d-------- C:\Programme\Java
2007-12-15 22:20 . 2007-12-15 22:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2007-12-15 22:20 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-12-14 18:27 . 2007-12-14 18:27 <DIR> d-------- C:\WINDOWS\Sun
2007-12-11 15:41 . 2007-12-11 15:41 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Trillian
2007-12-10 19:57 . 2007-12-10 19:57 <DIR> d-------- C:\WINDOWS\cache-cache
2007-12-10 19:57 . 1999-06-23 17:13 86,016 --a------ C:\WINDOWS\unvise32.exe
2007-12-10 19:57 . 2008-01-01 18:44 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-10 19:57 . 2007-12-10 19:57 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-10 15:08 . 2007-11-17 15:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-12-10 15:08 . 2007-11-17 15:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-12-10 15:08 . 2007-11-17 15:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-12-10 15:08 . 2008-01-08 17:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-12-10 15:08 . 2007-12-10 15:08 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-12-10 15:08 . 2007-12-10 15:08 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-12-10 15:08 . 2007-11-17 15:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-12-10 15:08 . 2007-12-10 15:13 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-12-09 21:49 . 2007-12-09 21:49 23 --a------ C:\WINDOWS\BlendSettings.ini
2007-12-08 21:27 . 2007-12-08 21:27 21 --a------ C:\WINDOWS\TemplateWizard.INI
2007-12-08 21:07 . 2007-12-08 21:07 <DIR> d-------- C:\WINDOWS\system32\Adobe
2007-12-08 21:07 . 2003-09-11 22:42 16,384 --a------ C:\WINDOWS\system32\FileOps.exe
2007-12-08 17:55 . 2007-12-08 17:55 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2007-12-08 17:55 . 2007-12-08 17:55 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2007-12-08 16:03 . 2007-12-08 16:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\LightScribe
2007-12-08 16:03 . 2007-12-08 16:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-08 17:04 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-01-08 17:04 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2008-01-08 16:04 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Xfire
2008-01-07 21:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-07 10:55 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\FileZilla
2008-01-03 17:09 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\teamspeak2
2008-01-01 17:48 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-29 15:52 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-26 11:05 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\uTorrent
2007-12-14 18:07 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-14 18:06 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-12-13 19:51 30,232 ----a-w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-08 20:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-06 21:52 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Ulead Systems
2007-12-06 21:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2007-12-06 21:43 --------- d-----w C:\Programme\Windows Media-Komponenten
2007-12-06 21:43 --------- d-----w C:\Programme\QuickTime
2007-12-06 21:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Ulead Systems
2007-12-06 21:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-12-06 21:30 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Sony
2007-12-06 21:30 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Publish Providers
2007-12-06 21:25 --------- d-----w C:\Programme\Microsoft SQL Server
2007-12-06 21:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2007-12-06 21:24 --------- d-----w C:\Programme\Vstplugins
2007-12-06 21:24 --------- d-----w C:\Programme\Sony
2007-12-06 21:08 --------- d-----w C:\Programme\Philips
2007-12-06 21:07 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\InstallShield
2007-12-01 12:12 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Nero
2007-12-01 12:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2007-12-01 12:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-11-29 05:52 --------- d-----w C:\Programme\Gemeinsame Dateien\EZB Systems
2007-11-23 23:06 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-11-23 23:06 --------- d--h--r C:\Dokumente und Einstellungen\admin\Anwendungsdaten\SecuROM
2007-11-23 23:05 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2007-11-23 23:05 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-11-23 23:05 22,328 ----a-w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\PnkBstrK.sys
2007-11-21 19:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Autodesk Shared
2007-11-21 19:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2007-11-21 19:30 --------- d-----w C:\Programme\Autodesk
2007-11-21 19:09 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-11-21 17:23 --------- d-----w C:\Programme\HP
2007-11-21 17:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2007-11-21 16:59 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2007-11-21 16:48 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\FRITZ!
2007-11-19 16:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-11-19 16:35 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Symantec
2007-11-18 10:00 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire
2007-11-17 19:14 --------- d-----w C:\Programme\uTorrent
2007-11-17 18:51 --------- d-----w C:\Programme\DAEMON Tools
2007-11-17 18:47 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-11-17 18:30 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire
2007-11-17 17:36 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Notepad++
2007-11-17 15:46 --------- d-----w C:\Programme\Symantec
2007-11-17 15:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2007-11-17 15:30 --------- d-----w C:\Programme\SystemRequirementsLab
2007-11-17 15:26 --------- d-----w C:\Programme\Gemeinsame Dateien\AVM
2007-11-17 15:25 --------- d-----w C:\Programme\FRITZ!Box
2007-11-17 15:15 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\TuneUp Software
2007-11-17 15:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2007-11-17 15:07 --------- d-----w C:\Programme\Realtek AC97
2007-11-17 14:57 --------- d-----w C:\Programme\microsoft frontpage
2007-11-17 14:54 --------- d-----w C:\Programme\Online-Dienste
2007-11-17 14:54 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-11-17 14:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-11-17 14:46 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-11-17 14:46 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
.

((((((((((((((((((((((((((((( snapshot@2008-01-08_17.55.08.98 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-08 17:00:01 1,038,336 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC.exe
+ 2008-01-08 17:00:01 178,688 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC1.exe
+ 2007-06-04 14:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys
+ 2007-04-13 14:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C537A9B5-D2E0-4654-B646-A471E3D641C8}]
2007-12-27 23:11 314752 --a------ C:\WINDOWS\system32\vtutr.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-06-20 22:42 577536 C:\WINDOWS\soundman.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-04 17:14 8491008]
"nwiz"="nwiz.exe" [2007-10-04 17:14 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-04 17:14 81920]
"SimpleScreenshot"="F:\SIMPLE~1\SIMPLESCREENSHOT.EXE" [2005-04-14 01:00 962048]
"Diamondback"="F:\Razer\razerhid.exe" [2007-08-01 14:07 147456]
"amd_dc_opt"="F:\AMD\amd_dc_opt.exe" [2006-06-28 15:42 106496]
"BDMCon"="F:\Bit Defender\bdmcon.exe" [2007-12-28 21:53 290816]
"BDAgent"="F:\Bit Defender\bdagent.exe" [2007-03-26 15:49 69632]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 17:34 213936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\vtutr.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^admin^Startmenü^Programme^Autostart^Xfire.lnk]
path=C:\Dokumente und Einstellungen\admin\Startmenü\Programme\Autostart\Xfire.lnk
backup=C:\WINDOWS\pss\Xfire.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 03:06 40048 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-08-03 12:51 202024 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-11-16 13:28 171464 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2003-12-22 08:38 241664 C:\Programme\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2003-08-04 17:28 49152 F:\HP\HP Software Update\HPWuSchd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-11-19 14:49 2295072 C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-08-08 09:25 1828136 F:\Nero 8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-12-06 22:43 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
--a------ 2005-05-31 01:04 1415824 F:\Spybot\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trust Gaming mouse]
--a------ 2006-12-28 09:20 1232896 F:\Trust\Panel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS10 Preload]
--a------ 2006-05-17 13:23 36864 F:\Ulead VideoStudio 10\uvPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-12-20 16:16 37376 F:\Winamp\winampa.exe

R3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys [2006-06-27 14:24]
R3 GMFilter Filter;GMFilter Filter;C:\WINDOWS\system32\Drivers\GMFilter.sys [2006-12-29 16:49]
R3 NPDriver;Norton Unerase Protection Driver;C:\WINDOWS\system32\Drivers\NPDRIVER.SYS [2002-08-14 06:03]
S3 NTProcDrv;Process creation detector for NT.;G:\Silkroad\BOTS\NtProcDrv.sys []
S3 Razerlow;Diamondback 3G USB Filter Driver;C:\WINDOWS\system32\Drivers\DB3G.sys [2005-04-24 22:43]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners
"2008-01-04 16:16:06 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- F:\TuneUp\SystemOptimizer.exe
"2008-01-04 17:21:55 C:\WINDOWS\Tasks\Norton SystemWorks One Button Checkup.job"
- F:\Norton SystemWorks\OBC.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 20:46:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\sockspy.dll

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\system32\sockspy.dll
-> C:\WINDOWS\system32\vtutr.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2527]
-> C:\WINDOWS\system32\sockspy.dll
-> C:\WINDOWS\system32\vtutr.dll
.
Zeit der Fertigstellung: 2008-01-08 20:48:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-08 19:48:00

mietzetatze · 08.01.2008, 21:14

~~~HiJackThis 2.012 Beta~~~
[QUOTE]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:41:09, on 08.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
f:\FRITZBOX\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
F:\3ds max\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
F:\SIMPLE~1\SIMPLESCREENSHOT.EXE
F:\Razer\razerhid.exe
F:\Bit Defender\bdagent.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\ctfmon.exe
F:\xampp\mysql\bin\mysqld-nt.exe
F:\Nero 8\Nero BackItUp\NBService.exe
F:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
F:\Razer\razerofa.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
F:\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
F:\Bit Defender\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Ad-Aware 2007\Ad-Watch2007.exe
F:\Ad-Aware 2007\aawservice.exe
F:\Bit Defender\bdmcon.exe
F:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SimpleScreenshot] F:\SIMPLE~1\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [Diamondback] F:\Razer\razerhid.exe
O4 - HKLM\..\Run: [amd_dc_opt] "F:\AMD\amd_dc_opt.exe"
O4 - HKLM\..\Run: [BDMCon] "F:\Bit Defender\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "F:\Bit Defender\bdagent.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = F:\FRITZBOX\StCenter.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .tga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin6.dll
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\Ad-Aware 2007\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - f:\FRITZBOX\IGDCTRL.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - F:\3ds max\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: mysql - Unknown owner - F:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - F:\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - F:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: QoS-RSVP (RSVP) - Unknown owner - C:\WINDOWS\system32\rsvp.exe (file missing)
O23 - Service: Speed Disk service - Symantec Corporation - F:\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\TuneUp\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - F:\Bit Defender\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 6940 bytes
[QUOTE]

Ich hoffe ihr könnt mir helfen.

Sorry für Doppelpost, aber max. 25000 Zeichen-.-

mietzetatze · 08.01.2008, 23:33

Und eScan-------->übrigens das AV stresst weil die rtutv.ini immer wieder erzeugt wird. Sozusagen: schneide das Unkraut ab und es wächst nach, also WURZEL ziehen!

Habt ihr eine Idee

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL 
    
eScan Version: 9.6.4 
Sprache: German 
Virus-Datenbank Datum: 1/8/2008  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: Keine Aktion vorgenommen. 
 System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
 Datei C:\WINDOWS\system32\MSWINSCK.OCX infiziert von "Trojan-Downloader.Win32.VB.btr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\WINDOWS\system32\MSWINSCK.OCX infiziert von "Trojan-Downloader.Win32.VB.btr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei G:\Bioshock\directx\DXSETUP.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei G:\System Volume Information\_restore{B1D905A8-6FDC-4E2B-9D62-0064F93DD2B3}\RP87\A0019375.EXE infiziert von "Backdoor.Win32.Bifrose.bkw" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei G:\_CC3\setup.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
 File H:\vdownloader\VDownloader.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:Downloader.Win32.VDown.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File H:\vdownloader.zip/VDownloader.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:Downloader.Win32.VDown.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: C:\WINDOWS\system32\swreg.exe 
 Offending file found: C:\WINDOWS\system32\swsc.exe 
 Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\norton systemworks\norton utilities\norton disk doctor.lnk 
 Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\norton systemworks\norton utilities\norton disk doctor.lnk 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 121951 
 Gefundene Viren: 11 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 92 
 Dauer des Scans bisher: 01:09:50 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 23:28:10,75 
Batchende: 23:28:33,78

11Boy11 · 09.01.2008, 10:14

Hi,

bevor du noch 30 weitere Berichte Postest ...

~> Deaktivierung der Systemwiederherstellung

Gehe nun in den Abgesicherten Modus, und lade Dir das Programm - Avenger - herunter.

- "Input script manually" anhacken
- Auf die Lupe klicken
- kopiere anschließend in "View/edit script" :

Zitat:

Files to delete:
c:\windows\system32\rtutv.ini2

- Done klicken
- gruene Ampel anklicken

...das Script wird nun ausgeführt. danach wird der PC automatisch neustarten

Trojan.Vundo.DVS bekämpfen und vernichten!

Log-Analyse und Auswertung: Trojan.Vundo.DVS bekämpfen und vernichten!