Virus! -> Win32: Vitro "unbesiegbar??"

Cool Modi

Hallo liebe Helfer,
ich habe (leider) ein riesengroßes Problem mit dem Virus Win32: Vitro.

Ich habe mich also mal über diesen schlau gemach und einige informationen gefunden. Dieser soll alle exe-Dateien befallen und nur schwer zu löschen sein.
Hier ist eine der Seiten wo man noch mehrere infos über Win32: Vitro bekommt
Infos zu Malware Win32:Vitro

Das Problem:

Das Problem bei mir ist, dass jedesmal wenn ich eine befallende datei mit meiem Anti-Virus Programm (Avast -> bin ich eigentlich sehr zufrieden mit) lösche, mir sofort eine neue befallende datein angezeigt wird.. Jede datei die befallen ist kann ich danach nicht mehr nutzen und leider weitet sich das Problem auf den sytem 32 ordner aus
Also habe ich mal schnell das wichtigste auf meiner Exteren Festplatte gespeichert, diese auf einmal durchgescannt (Ergebnis: kein Virus gefunden) und mal locker pflockig einmal komplett formatiert und windows neu aufgesetzt. Danach alle Treiber neu installiert und avast draufgepackt. So danchdem ich damit 1 Stunde verbraht hatte wollte ich ins internet um servicepacks und sicherheitsupdates zu holen. Doch was passiert: Avast zeigt mit die Warnung an das eine Verbindung zu einer bösartiges Website (mit einen unendlich langen URL^^) geblockt wurde obwohl ich zu dem Zeitpunkt keine Website besucht hatte. Kurz darauf kam ne Viruswarnung mit Win32: Vitro!
Da war ich das erste mal sprachlos, da es anscheinend diesem BIEST irgendwie geluggen sein muss die Formatierung zu überstehen oder ähnliches. Also nocheinmal alles neu aufgesetzt. Dieses mal aber berfor die internetverbindung bestandt alle Servicepacks drauf gepackt und Sicherheitsupdates installiert. Dann hab ich ne Internetverbindung hergestellt und es passierte lange eit nichts Ich war schön überglücklich bis gestern!!!
Da tauchte wieder die mysteriöse Websitewarnung von avast auf die geblockt wurde und kurz darauf kam wieder die Win32:Vitro Melung..
Jetzt ist es schon wieder soweit, dss z.B die cmd.exe die explorer.exe und nach eineige anderen Datein befallen sind. Alo kann ich auch nur noch im aabgesicherten Modus starten und hab da jetzt mal gemäß der Anleitung Was muß ich vor meinem ersten Thema beachten?"

1. den CCleander drüber laufen lassen
2. mit Malwarebytes-Anti-Malware einen Scan durchgeführt
3. Hijack durchscannen lassen
4. und auch mit Hijack eine uninstall_list.txt erstellt

Die Ergebnisse werde ich gleich heir posten.

Ach ja also ich hab Windows XP Professional und bin mit den Sicherheitsupdates auf den neusten Standt



Hier ist der Malwarebytes-Anti-Malware scan:

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1923
Windows 5.1.2600 Service Pack 3

31.03.2009 11:06:07
mbam-log-2009-03-31 (11-05-50).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|I:\|)
Durchsuchte Objekte: 132620
Laufzeit: 15 minute(s), 20 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Temp\VRTB8.tmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.



Hier ist das Ergebniss aud dem Hijack Scan:

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:51:23, on 31.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\4.tmp
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
E:\Donwloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6205 bytes


und hier ist die unistall_list. txt Datein

Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Alcatech BPM Studio Professional v4.9.1
Apple Mobile Device Support
Apple Software Update
avast! Antivirus
Call of Duty(R) - World at War(TM)
Call of Duty(R) - World at War(TM) 1.1 Patch
Call of Duty(R) - World at War(TM) 1.2 Patch
Call of Duty(R) - World at War(TM) 1.3 Patch
CCleaner (remove only)
Fallout 3
Free YouTube Download 2.1
Hamachi 1.0.3.0
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
ICQ Toolbar
ICQ6.5
iTunes
Java 2 Runtime Environment Standard Edition 1.3.1_15
JMB36X Raid Configurer
Logitech G-series Keyboard Software
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft Games for Windows - LIVE Redistributable
Microsoft Office XP Professional
Mozilla Firefox (3.0.1)
MSXML 6.0 Parser (KB925673)
NETGEAR WPN311 Wireless Adapter
NVIDIA Drivers
NVIDIA ForceWare Network Access Manager
NVIDIA PhysX
PunkBuster Services
QuickTime
Realtek High Definition Audio Driver
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Skype™ 3.6
Smart-X7 7.80
SUPER © Version 2008.bld.33 (Sep 2, 2008)
TeamSpeak 2 RC2
TeamSpeak 2 Server RC2
TinyTimer
Uninstall 1.0.0.0
Update für Windows Internet Explorer 8 (KB968220)
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VideoLAN VLC media player 0.8.6f
Windows Communication Foundation
Windows Internet Explorer 8
Windows Presentation Foundation
Windows Workflow Foundation
Windows XP Service Pack 3
WinRAR
Xfire (remove only)
Yahoo! Toolbar

--------------------------------------------------------------------------

Soooo jetzt zähl ich auf euch, da ich am verzweifeln bin und keine ahnung hab was mir noch helfen könnte wenn selbst das formatieren versagt

Vielleicht können wir ihn ja gemeinsam "besiegen"

PS: das ist mein erstes erstelltes Thema. Sry wenn ich noch etwas vergessen habe aber Übung macht ja den Meister (Auch wenn ich hoffe, das ich mich mit so einem Problem nicht mehr an euch wenden muss