AntiVir erkennt "TR/Vundo.DVE", aber ich kriege es nicht los!

#1 Also, der Titel sagt bereits Alles.
Keine Ahnung woher der kommt oder wie ich den wegbekomme, hoffe mir kann hier jemand helfen.

datfind.bat Log (nur die letzten drei Monate):

Zitat

Datenträger in Laufwerk C: ist Windows
Volumeseriennummer: 0065-7C99

Verzeichnis von C:\WINDOWS\system32

2008-01-13 15:11 370,784 pstss.ini
2008-01-13 15:11 370,768 pstss.ini2
2008-01-13 15:07 311,740 perfh009.dat
2008-01-13 15:07 40,128 perfc009.dat
2008-01-13 15:07 316,924 perfh007.dat
2008-01-13 15:07 48,354 perfc007.dat
2008-01-13 15:07 723,744 PerfStringBackup.INI
2008-01-12 16:29 2,184 wpa.dbl
2008-01-07 23:21 19 00656eb8
2008-01-07 23:20 143 mcrh.tmp
2008-01-02 19:21 17,642,616 MRT.exe
2007-12-15 17:45 314,624 sstsp.dll

Das Log von HiJackThis habe ich als Anhang mit drauf gepackt.

ComboFix macht Probleme und bleibt bei Scan Shritt 30 hängen. Der Report kommt entweder gleich hinterher (ich schliesse alles und lass es dann nochmal scannen) oder mir muss jemand sagen, warum ComboFix nichts mehr macht ab 30..


Vielen Dank im Voraus

#2 iDanny

««
HijackThis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only

Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat

O2 - BHO: (no name) - {C7C7562E-ACFF-4583-8CB5-7532D6987752} - C:\WINDOWS\System32\sstsp.dll

««
Avenger
http://www.virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\pstss.ini
C:\WINDOWS\system32\pstss.ini2
C:\WINDOWS\system32\00656eb8
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\sstsp.dll

Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

««
wende vundofix an
http://www.virus-protect.org/artikel/tools/vundofixx.html

««
poste das Log von Combofix hier
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 So, ComboFix hat nun doch gescannt.
Log angehängt.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\pstss.ini
C:\WINDOWS\system32\pstss.ini2
.
---- Previous Run -------
.
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pstss.ini
C:\WINDOWS\system32\pstss.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-13 bis 2008-01-13 ))))))))))))))))))))))))))))))
.

2008-01-12 17:15 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-07 23:21 . 2008-01-07 23:21 19 --a------ C:\WINDOWS\system32\00656eb8
2008-01-07 22:58 . 2008-01-07 23:00 <DIR> d-------- C:\Programme\XoftSpySE
2008-01-06 21:57 . 2008-01-06 21:57 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-01-06 21:53 . 1998-10-21 18:43 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-01-01 20:39 . 2008-01-02 16:05 <DIR> d-------- C:\VundoFix Backups
2007-12-15 17:45 . 2007-12-15 17:45 314,624 --------- C:\WINDOWS\system32\sstsp.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-13 15:21 --------- d-----w C:\Dokumente und Einstellungen\Saschi\Anwendungsdaten\OpenOffice.org2
2008-01-06 21:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-25 12:42 --------- d-----w C:\Programme\eMule
2007-12-24 06:23 --------- d-----w C:\Dokumente und Einstellungen\Saschi\Anwendungsdaten\Azureus
2007-12-23 18:59 --------- d-----w C:\Programme\Azureus
2006-12-19 06:36 14,812,816 ----a-w C:\Programme\IE7-WindowsXP_pd_nov-x86-deu.zip
2006-08-27 21:07 6,042,304 ----a-w C:\Programme\FirefoxGoogleToolbarSetup.exe
2006-08-08 06:20 23,825,032 ----a-w C:\Programme\AdbeRdr708_de_DE.exe
2006-08-08 06:16 7,241,896 ----a-w C:\Programme\psa30se_de_de.exe
2006-08-08 06:15 762,512 ----a-w C:\Programme\ytb612_efgsip.exe
.

((((((((((((((((((((((((((((( snapshot@2008-01-13_16.04.12.43 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-13 15:20:54 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_3d8.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EA0351DE-86F6-4483-92DD-C96CC6508BEA}]
2007-12-15 17:45 314624 --------- C:\WINDOWS\System32\sstsp.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 12:00 13312]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"skip lite"="C:\DOKUME~1\Saschi\ANWEND~1\CREATI~1\ScrManagerMp3.exe" [ ]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2004-09-22 14:10 1871872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 19:59 249896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 19:33 57344]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]
"MsgCenterExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-23 12:00 13312]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\System32\sstsp.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2007-09-06 20:27]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-09-06 20:27]
S3 PRISM_USB;D-Link Air DWL-122 Wireless USB Adapter Driver;C:\WINDOWS\System32\DRIVERS\PRISMUSB.sys [2003-04-10 18:43]
S3 tbhsd;Tunebite High-Speed Dubbing;C:\WINDOWS\System32\drivers\tbhsd.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-01-13 15:20:32 C:\WINDOWS\Tasks\XoftSpySE 2.job"
- C:\Programme\XoftSpySE\XoftSpy.exe
"2008-01-07 21:58:37 C:\WINDOWS\Tasks\XoftSpySE.job"
- C:\Programme\XoftSpySE\XoftSpy.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-13 16:21:23
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.0000]
-> C:\WINDOWS\System32\sstsp.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2600.0000]
-> C:\WINDOWS\System32\sstsp.dll
.
Zeit der Fertigstellung: 2008-01-13 16:27:40 - machine was rebooted [Saschi]
ComboFix-quarantined-files.txt 2008-01-13 15:27:35
.
2008-01-10 22:32:29 --- E O F ---

#4 ««
gehe in die Registry
Start - Ausführen - regedit
oben links - suche: sstsp.dll

loesche alles, was du findest

z.b.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EA0351DE-86F6-4483-92DD-C96CC6508BEA}] -> löschen
C:\WINDOWS\System32\sstsp.dll


««
wende Avenger an (siehe das Script oben) - und poste ein neues Log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Also, bei dem Schritt mit HiJackThis gibt es 2 Probleme:

Erstens mal ist der Harsh-Key von der file sstsp.dll anders als bei dir aufgeführt, zweitens erscheint der Eintrag auch beim nächsten Scan wieder. Wenn ich den Eintrag markiere und auf "Info on selected item..." klicke, sehe dass folgende Actions bereits durgeführt wurden: "Registry key and CLSID key are deleted, BHO dll file is deleted" Also ich denk mal, dass der das Ding doch gelöscht hat? Mein AntiVir zeigt auch erstmal nichts an.

Wird gleich editiert, inkl. ComboFix Log.

#6 ich hab auch editiert - schau noch mal nach, die dll wird immer neu geladen, weil sie in der Registry noch verankert ist.

den Avenger wende dennoch an....
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 So, habe alles mit regedit gelöscht, einige Einträge kommen wieder.
Habe dann mit avenger die Dateien gelöscht, habe nun aber ein doofes Problem und zwar hat mich Windows nach reboot durch avenger nach einem PW gefragt um mich in mein Konto einzuloggen. Hab nur keins.. O.o
Das kam einfach so, und ich hatte noch nie ein PW auf dem PC.. Kann das etwas mit dem Trojaner bzw. den Programmen zu tun haben, oder mit den Registry Einträgen, die gelöscht wurden?

#8 du bist aber wieder eingekommen ? einfach weiterklicken, bei der Passwortfrage ?
poste bitte das neue Log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 Nein, bin ich nicht.
Ich schreibe gerade von einem anderen PC aus, einfach reinklicken geht nicht.
Was nun?

#10 boote in den abgesicherten Modus (F 8 druecken, wenn der PC hochfaehrt) - Start - Systemsteuerung - Benutzerkonten
schau, was dort angezeigt ist , eventuell auch ein kennwort entfernen oder neu erstellen
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 Auch im abgesicherten Modus werde ich nach einem Passwort gefragt sowohl für den normalen Account als auch für den Administrator-Account, ich bin mir aber sicher, dass ich wie gesagt, nie irgendwelche Passwörter angelegt habe..

#12 ««
ja nun.. das ist wirklich eigenartig .. nie ein passwort gesetzt - und nun ist eins da, sogar im Adminkonto...

schnell und sicher wäre: formatieren .... dann ist auch gleich der vundovirus weg...

oder:
http://board.protecus.de/t14262.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/