Kriege Virus ntrootkit.reg nicht runter

#1 Bekomme den virus einfach nicht runter, kann mir jemand helfen?

C:\WINDOWS\system32\ntrootkit.reg - WinREG/RtKit* -> Infected

#2 1.)Systemwiederherstellung aus
2.)abgesicherten Modus scannen.

MFG
DAFRA

#3 Welches Programm meldet dir denn diese Datei? Sie tritt normalerweise nicht alleine auf.......
__________
MfG Ralf
SEO-Spam Hunter

#4 Also ich hab soviele Programme durchlaufen lassen und eigentlich finden nur 2 Programme die Viruse, ich hatte(hab) 2 stück

1. Programm

Anti Vir xp

der zeigte mir andauernd 2 signaturen des Worm/nachi.b.1 an (svchost.exe)

hab immer versucht die zu löschen kamen aber immer wieder, habe systemherstellung deaktiviert im abgesicherten modus gestartet und dann nochmal gescannt und dann war er weg


2.

RAV Antivirus

der zeigte mir

C:\WINDOWS\system32\ntrootkit.reg - WinREG/RtKit* -> Infected
C:\WINDOWS\system32\TFTP636 - Win32/Msblast.B.dam#2 -> Infected

nachdem ich mit dem 1.prog den einen virus löschte zeigte er nur noch beim scannen

C:\WINDOWS\system32\ntrootkit.reg - WinREG/RtKit* -> Infected

an. Habe auch versucht wie in variante 1.systemwiederherstellung deaktiviert ab. modus und gelöcht, kam aber immer wieder

Habe mir natürlich vorher auch die 2 Sicherheitspatches

MS03-026
Microsoft Security Bulletin MS03-039


gezogen aber hat anscheinend nix geholfen,wenn der wiederkommt.


Habe nun mit hijack die Logfile gescannt

Code

Logfile of HijackThis v1.97.7
Scan saved at 17:06:29, on 01.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Downloads\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wer-mit-wem.webhop.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [F-Secure Manager] "D:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [AT-Watch] D:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [Anti-Trojan-Watch] D:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [RAV8Tray] D:\Programme\GeCAD\RAV8 Desktop\ravtray8.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent
O4 - Global Startup: ravmon.exe.lnk = D:\Programme\GeCAD\RAV8 Desktop\ravmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: TREND MICRO HouseCall (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38073.2547685185
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

#5 Du hast auf jeden fall zu viele Av-Programme im Startup und die Liste der "Running processes" ist irgendwie zu kurz. Hast du das Log im abgesicherten Modus erstellt?

Da du F-secure nutzt, aktualisiere ihn und lass ihn, wie Dafra schon gesagt hat, im abgesicherten Modus deinen Rechner scannen.

Von den Sachen die im Log stehen, sind nur die zu viel gestarteten AV-Programme verdaechtig.
__________
MfG Ralf
SEO-Spam Hunter

#6 Ja die log war im abgesicherten modus

kann fsecure net im abgesicherten modus starten

#7 Organisiere dir mal eine Winpecd( www.nu2.nu/pebuilder ) von einem "sauberen" Rechner. Freunde dich schon mal mit dem gedanken an, den Rechner neu aufzusetzen........
__________
MfG Ralf
SEO-Spam Hunter