Ich habe mir den Trojaner Virtumonde gezogen, weiß der Teufel wie. Allerdings bekommeich ihn nicht wieder weg! Ich habe schon im Forum gsucht, und ein Tutorial gefunden zum Entfernen von Virtumonde. Ich habe versucht alles genau zu befolgen, allerdings fing es schon beim ersten Schritt an:

Zitat:

#PC neustarten--> abgesicherter Modus
Doppelklick auf VundoFix.exe,dann auf Install,danach wird ein Ordner VundoFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf KillVundo.bat

#Nun wird folgendes angezeigt:

Zitat:
VundoFix V2.15 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue....

#Dann drücke auf Enter

#Nun wird folgendes angezeigt:

Zitat:
Please Type in the filepath as instructed by the forum staff
and then press enter:

#Bitte so eingeben oder Reinkopieren:
C:\WINDOWS\system32\pmnnm.dll

#Dann drücke auf Enter

#Nun wird folgendes angezeigt:

Zitat:
Please type in the second filepath as instructed by the forum
staff then press enter:

Bitte so eingeben oder Reinkopieren:
C:\WINDOWS\system32\mnnmp.*

#Dann drücke auf Enter

Erstens sieht mein VundoFix ganz anders aus! Ich musste es mir von einer anderes Seite ziehen, weil der Link kaputt ist. Es gibt nur die zwei Buttons Search for Vundo und Remove Vundo, nirgendswo kann ich was eingeben! Zweitens, wie bekomme ich heraus, welche .dll file betroffen ist?
Außerdem habe ich dann mal per Vundofix nach Vundos gescannt, aber es wurde mir gesagt, dass nichts gefunden wurde, doch das kann nicht sein, da mein Antivir regelmäßig die Meldung durchgibt, dass TR/Monder.aen und TR/Vundo.ESW gefunden wurden. Dazu habe ich dann noch VirtumondoBeGone geholt, es ausgeführt, und der PC startet wie beschrieben neu, aber es tauchen weiterhin die Werbefenster und die Virenwarnungen auf! Was soll ich jetzt machen?
mfg
icyice

Halli hallo.

Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes.
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist hänge die erstellte avz_sysinfo.zip an deinen nächsten Post an.

Ich habe ein kleines Problem, und zwar habe ich bevor du deine Nachricht geschrieben hast, per VundoFix eine Datei manuell hinzugefügt, bei der mein Antivir immer auschlägt, und diese löschen lassen. Allerdings habe ich dann das Problem, dass ich nicht mehr Sachen per Google suchen kann! Ich gebe den Suchbegriff ein, warte und es passiert nichts! Das passiert, sobald ich in irgendeiner weise versuche, Virtumonde zu löschen. Sobald ich den letzten Wiederherstellungspunkt lade, geht es wieder. Von daher will ich nicht die Wiederherstellung deaktivieren, da der Pubkt zwar alle Viren wiederherstellt, aber ich immernoch die Möglichkeit habe, auf Google zu suchen. Ich habe nun schon wirklich alles probiert: VundoFix, AntiVir, HiJackThis, VirtumondeBeGone, manuell löschen, nix klappt. Welcher Arsch programmiert sowas? Warum macht der sowas? Ich will Windows um keinen Preis neuinstallieren müssen, nur wenn wirklich NICHTS mehr geht, wenn alle Möglichkeiten gescheitert sind!

Dann stelle dein System bitte zu dem Zeitpunkt wieder her zu dem alles läuft. (Die Google Suche funktioniert)

Starte den Rechner neu und deaktiviere danach die Systemwiederherstellung und folge meiner Anleitung.

Bei mir das selbe Problem,


[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke.

[/edit]

Habe nun, bevor ich wirklich die Systemwiederherstluung deaktiviere, Malwarebytes drüber laufen lassen, der hat auch ziemlich viel gefunden & gelöscht. Allerdings kommt nun beim Neustart die Meldung von Anti-Vir, dass TR/Trash.Gen gefunden wurde, außerdem TR/Monder.c (hier eine Nummer, die ich vergessen habe), welcher wohl auch noch von VirtuMonde ist, allerdings vorher nie angezeigt wurde. Außerdem weiß ich nicht wie ich bei Avira Anti-Vir den On-Access Scanner deaktivieren kann.
Naja, AVZ lasse ich gerade durchlaufen. Log kommt gleich.

Hier nun das AVZ System Log: Im Anhang konnte ich es nicht hochladen, weil 1. die Dateiendung .zip nicht unterstützt wird und 2.wenn ich die Datei umbennen in eine andere, ist sie trotzdem zu groß. Deswegen bei Rapidshare hochgeladen.

RapidShare: Easy Filehosting

Beende alle Arbeiten am PC!

Unter File -> Custom Skripts bitte das hier reinkopieren:

Zitat:

begin
SearchRootkit(true, true);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D27CDB6E-AE6D-11CF-96B8-444553540000}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{166B1BCA-3F9C-11CF-8075-444553540000}');
QuarantineFile('c:\programme\archicrypt stealth 4\ijstealth4svc.exe','');
DeleteFile('C:\WINDOWS\system32\winbug32.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

und ausführen lassen.

Überprüfe dein System danach bitte mit Anti-Malware und poste das log.

So, alles so gemacht wie du gesagt hast, das Script ausgeführt und auch Anti-Malware durchlaufen lassen. Es findet nun drei infinzierte Dateien, und zwar Virtumonde.Downloader, Virtumonde.Trojan und "Dialer", von dem ich noch nie gehört habe oder den mir AntiVir auch noch nie angezeigt hat. Ich habe mich aber nicht getraut, die Ergebnisse zu beheben, weil danach aus Erfahrung die GoogleSuche wie beschrieben nicht mehr funktioniert. Außerdem poppten während des Scans verschiedene Virusmeldungen von AntiVir auf, und zwar folgende:

In der Datei 'C:\WINDOWS\system32\nnnNFYOf.VIR'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.

In der Datei 'C:\WINDOWS\system32\winbug32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.LdPinch.SH' [trojan] gefunden.

In der Datei 'C:\WINDOWS\system32\wvUmkiIy.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.

In der Datei 'C:\WINDOWS\temp\win48.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.LdPinch.sh.1' [trojan] gefunden.

In der Datei 'G:\Ego Shooter\Crysis\Crysis 1\Razor1911\rzr-crys.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Agent.ZNC' [backdoor] gefunden. <- ich weiß, dass das illegal ist, aber ich hatte vorher NIE Probleme mit dem gecrackten Crysis, von wegen Backdoor oder so. Habe natürlich den gesamten Odner nach dem Downloaden damals gescannt, nix wurde gefunden!

Sieht es schlecht aus für mich oder gibt es noch ein Fünkchen Hoffung? Was sollte ich jetzt machen?


Hier mal ein frischen HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:25:50, on 01.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\QIP\qip.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\ArchiCrypt Stealth 4\IJStealth4Svc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://gwhonline.gw.funpic.de/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 85.214.23.36:3128
O1 - Hosts: 222.111.150.111 gwgt1.joymax.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP\qip.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\icq 6\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\icq 6\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://s14.wurzelimperium.de
O15 - Trusted Zone: h**p://s17.wurzelimperium.de
O15 - Trusted Zone: h**p://s18.wurzelimperium.de
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A9FC53C-72FA-47A3-B283-E85D05FC9BAD}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C838116E-9BC5-41A3-A511-52284A327290}: NameServer = 192.168.1.145
O20 - Winlogon Notify: winbug32 - winbug32.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Stealth Service Helper (StealthInjectorService) - Softwareentwicklung Remus - C:\Programme\ArchiCrypt Stealth 4\IJStealth4Svc.exe

--
End of file - 7695 bytes

Zitat:

ich weiß, dass das illegal ist, aber ich hatte vorher NIE Probleme mit dem gecrackten Crysis, von wegen Backdoor oder so.

Ja das ist es. Und EXTREM gefährlich obendrein.

Zitat:

Habe natürlich den gesamten Odner nach dem Downloaden damals gescannt, nix wurde gefunden!

natürlich nicht AntiViren Proggis finden vielleicht 20% aller Schädlinge!

Führe den Anti-Malware Scan erneut aus und lasse ALLES löschen was gefunden wird! Und poste das komplette log so wie es in der Anleitung beschrieben wird!

Lösche danach auch diesen besch**** Crack Ordner.

Führe danach einen Scan mit SUPERAntiSpyware durch. Poste das log.


PS: Es wäre besser wenn du neuaufsetzten würdest da es durchaus sein kann, dass du bzw. dein Rechner in letzte Zeit Kinderpornogrphie verteil hat oder für sonstige kriminelle Aktivitäten missbraucht wurde.
Dafür bist du haftbar weil du für die Sicherheit deines Rechner verantwortlich bist!

Zitat:

PS: Es wäre besser wenn du neuaufsetzten würdest da es durchaus sein kann, dass du bzw. dein Rechner in letzte Zeit Kinderpornogrphie verteil hat oder für sonstige kriminelle Aktivitäten missbraucht wurde.
Dafür bist du haftbar weil du für die Sicherheit deines Rechner verantwortlich bist

Geht leider nicht, da mein Windows zwar legal ist, allerdings einem Bekannten gehörte, und ich somit keine Windows CD greifbar habe.
Scans gehen gerade nicht, reiche ich nach.

1. Wieso kann ich auf einmal meinen Beitrag nicht mehr editieren? Komisch...
2. Hier nun das Anti-Malware log:

Malwarebytes' Anti-Malware 1.19
Datenbank Version: 908
Windows 5.1.2600 Service Pack 2

18:51:43 01.07.2008
mbam-log-7-1-2008 (18-51-43).txt

Scan Art: Komplett Scan (C:\|D:\|G:\|)
Objekte gescannt: 258059
Scan Dauer: 59 minute(s), 20 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbug32 (Dialer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


Naja, komschierweise wird nun nicht mehr der Virtumonde.Trojan gefunden, obwohl ich zwischen dem ersten und zweitem Scan nichts verändert habe! Wirklich komisch... aber egal, ich hab beide Ergebnisse gelöscht, bzw. versucht sie zu löschen, wird sich beim Neustart zeigen ob Anti-Malware erfolgreich war!
Soll ich mal die Dateien, in denen die Trojaner gefunden wurden (siehe letzter Post) löschen? Achja, den Crack-Ornder habe ich komplett entfernt und den Papierkorb geleert!

Trojaner

Zitat:

Soll ich mal die Dateien, in denen die Trojaner gefunden wurden (siehe letzter Post) löschen?

Welche meinst du? Eigentlich sollten die Progs das von alleine machen...



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Hey, ich lasse im Mometn nochmal SUPERAntiSpyware durchlaufen, wie du mir geraten hast. Log komt gleich. Leider hat SUPERAntiSpyware sogar 4 Viren gefunden... Hatte schon wieder Hoffnung geschöpft
ComboFix werde ich morgen zu kommen, tschuldige, habe morgen einen anstregenden Tag und gehe früh schlafen.
Aber ist Virtumonde überhaupt zu entfernen? SUPERAntiSpyware meint, ich hätte
AdWare.Vundo Variant/Rel, was ja darauf hindeutet, dass das Virus mutiert ist... Oft steht ja unter einigen Posts die Werbung "VirtuMonde entfernen", und verweist auf die Seite von SUPERAntiSpyware: Ist das wieder nur ein Trick, um Kunden zu gewinnen oder ist das Programm wirklich so gut? Ich werde es sehen.

Zitat:

Zitat:
Soll ich mal die Dateien, in denen die Trojaner gefunden wurden (siehe letzter Post) löschen?
Welche meinst du? Eigentlich sollten die Progs das von alleine machen...

Naja, während in Anti-Malware durchlaufen lies, kam immer wieder AntiVir Popups auf, die vor den Trojanern warnten, während Anti-Malware genau diese Datei überprüfte. Löschen funktioniert nicht, dass Popup kam sofort wieder, also habe ich auf Zugriff verweigern geklickt, alledings wurde die Datei dann nicht von Anti-Malware als Infiziert gewertet. Somit werde ich die DLL wohl per HijackThis beim nächsten Reboot löschen lassen und hoffen, so die Trojaner mit zu löschen.

Hier nun das SUPERAntiSpyware Log:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 07/01/2008 at 09:02 PM

Application Version : 4.15.1000

Core Rules Database Version : 3494
Trace Rules Database Version: 1485

Scan type : Complete Scan
Total Scan Time : 01:58:19

Memory items scanned : 449
Memory threats detected : 0
Registry items scanned : 4744
Registry threats detected : 0
File items scanned : 216225
File threats detected : 13

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Shadowbreaker\Cookies\shadowbreaker@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Shadowbreaker\Cookies\shadowbreaker@zanox[1].txt
C:\Dokumente und Einstellungen\Shadowbreaker\Cookies\shadowbreaker@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\Shadowbreaker\Cookies\shadowbreaker@adviva[2].txt
C:\Dokumente und Einstellungen\Shadowbreaker\Cookies\shadowbreaker@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Shadowbreaker\Cookies\shadowbreaker@media.funpic[1].txt
C:\Dokumente und Einstellungen\Shadowbreaker\Cookies\shadowbreaker@doubleclick[1].txt
C:\Dokumente und Einstellungen\Shadowbreaker\Cookies\shadowbreaker@komtrack[2].txt
C:\Dokumente und Einstellungen\Shadowbreaker\Cookies\shadowbreaker@atwola[1].txt
C:\Dokumente und Einstellungen\Shadowbreaker\Cookies\shadowbreaker@ad.yieldmanager[1].txt

Trojan.Unclassified-Packed/Suspicious
C:\WINDOWS\SYSTEM32\JANGRAPHICS.DLL

Adware.Vundo Variant/Rel
C:\WINDOWS\SYSTEM32\MCRH.TMP

Trojan.Unclassified/Loader-Suspicious
G:\LOADER\LOADER.EXE


Das wars dann auch von mir für heute, morgen geht der Kampf gegen diese Scheißteile weiter. Man sieht sich! Und vielen, vielen Dank, dass du mir bei meinem Problem hilfst!