| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Virtumonde.dll - PlageWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.10.2008, 11:58
| #1 |
 |  Virtumonde.dll - Plage Hi, Virenjäger, Habe vor kurzem sichtlich meinen Rechner mit Virtumonde.dll infiziert. Bin auf eure Seite gestoßen und habe dann in einem Thread über diesen Virus gelesen was zu tun ist. Folgende Programme durchgeführt: 1. CC Cleaner 2.Combofix Beie Programme mehrmals hinereinander durchgeführt bis kein Eintrag mehr gefunden wurde. Anschließend im abgesicherten Modus mittels VirtumondeBeGone. nochmals alles gescannt. Neustart und nun ein frisches Log-File mittels HijackThis angelegt: Da Ich ein ziemlicher Laie bin, bitte Ich euch meine Daten kurz duchzusehen und mir weitere Anweisungen zu geben, falls notwenig. Besten Dank. Hier mein HiJackThis-File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:36:59, on 08.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Medion Info Display\MdionLCM.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\CmUCReye.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Winamp\winampa.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\explorer.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe" O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0 O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'xxxx') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'xxxxx') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - hxxp://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=hxxp://www.aldi.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937 O20 - AppInit_DLLs: bazomy.dll O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 7693 bytes Ich hoffe Ihr könnt mir weiterhelfen. Mfg, gintomas |
|
08.10.2008, 15:40
| #2 |
| /// AVZ-Toolkit Guru   | Virtumonde.dll - Plage Hallöle.
__________________Da ist noch was da. Scanne mal mit SUPERAntiSpyware und Anti-Malware und poste auch diese logs.
__________________ |
|
08.10.2008, 17:59
| #3 |
| | Virtumonde.dll - Plage Hi, danke für die schnelle antwort hier mal die Malwarebytes Datei:
__________________Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1243 Windows 5.1.2600 Service Pack 3 08.10.2008 18:31:07 mbam-log-2008-10-08 (18-31-07).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 117312 Laufzeit: 26 minute(s), 40 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\QooBox\Quarantine\C\WINDOWS\eane.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\bazomy.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\qkwlvitc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\vdukbejo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP71\A0041862.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. |
|
08.10.2008, 18:01
| #4 |
| | Virtumonde.dll - Plage Ach und hier die Log-Datei von Super Antiy spyware: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 10/08/2008 at 05:57 PM Application Version : 4.21.1004 Core Rules Database Version : 3592 Trace Rules Database Version: 1579 Scan type : Complete Scan Total Scan Time : 00:20:41 Memory items scanned : 443 Memory threats detected : 0 Registry items scanned : 6091 Registry threats detected : 0 File items scanned : 20412 File threats detected : 11 Adware.Vundo-Variant/J C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP43\A0025155.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP71\A0041860.DLL Trojan.Unclassified/GTS C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP43\A0025156.DLL Adware.Vundo/Variant C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP70\A0041251.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP70\A0041252.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP70\A0041253.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP71\A0041864.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP71\A0041866.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP71\A0041868.DLL Trojan.Dropper/Gen C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP71\A0041861.EXE Trojan.Net-MSV/VPS-Variant C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP71\A0041863.DLL Vielen Dank, gintomas |
|
08.10.2008, 19:05
| #5 |
| /// AVZ-Toolkit Guru | Virtumonde.dll - Plage Hm. Die Datei die wir erwischen wollten ist nicht dabei. Dann anders: Systemanalyse
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
10.10.2008, 11:57
| #6 |
| | Virtumonde.dll - Plage hallo, erstmal danke für deine ratschläge.hätte keine ahnung was zu tun wäre. versteh jetzt allerdings etwas nicht genau. wie ist das gemeint mit "Nachdem die Reinigung komplett beendet ist" muss ich ein Antivirenprogramm abgesicherten Modus ausführen? wie auch immer. habe schließlich AVZ ausgeführt und hier ist nun der Downloadlink: http://rapidshare.com/files/152633022/avz_sysinfo.zip.html Vielen Dank für deine Hilfe |
|
13.10.2008, 05:44
| #7 | |
| /// AVZ-Toolkit Guru | Virtumonde.dll - PlageDateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. Führe mit AVZ folgendes Skript aus (File -> Custom Skript) Code:
ATTFilter begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}');
DeleteFile('bazomy.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
13.10.2008, 10:48
| #8 |
| | Virtumonde.dll - Plage Hi, Habe nun alle Schritte befolgt Hier mal folgendes HiJackThis-File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:41:55, on 13.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Medion Info Display\MdionLCM.exe C:\WINDOWS\system32\CmUCReye.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Winamp\winampa.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe" O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0 O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - hxxp://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=hxxp://www.aldi.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937 O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 7970 bytes Hier dann folgende zwei Dateien: Datei CNYUSB.dll empfangen 2008.10.13 11:33:22 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 10. Geschätzte Startzeit is zwischen 79 und 113 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.13.0 2008.10.13 - AntiVir 7.8.1.34 2008.10.13 - Authentium 5.1.0.4 2008.10.12 - Avast 4.8.1248.0 2008.10.12 - AVG 8.0.0.161 2008.10.12 - BitDefender 7.2 2008.10.13 - CAT-QuickHeal 9.50 2008.10.13 - ClamAV 0.93.1 2008.10.13 - DrWeb 4.44.0.09170 2008.10.13 - eSafe 7.0.17.0 2008.10.12 - eTrust-Vet 31.6.6141 2008.10.10 - Ewido 4.0 2008.10.12 - F-Prot 4.4.4.56 2008.10.12 - F-Secure 8.0.14332.0 2008.10.13 - Fortinet 3.113.0.0 2008.10.13 - GData 19 2008.10.13 - Ikarus T3.1.1.34.0 2008.10.13 - K7AntiVirus 7.10.491 2008.10.11 - Kaspersky 7.0.0.125 2008.10.13 - McAfee 5403 2008.10.11 - Microsoft 1.4005 2008.10.13 - NOD32 3516 2008.10.13 - Norman 5.80.02 2008.10.10 - Panda 9.0.0.4 2008.10.13 - PCTools 4.4.2.0 2008.10.12 - Prevx1 V2 2008.10.13 - Rising 20.66.02.00 2008.10.13 - SecureWeb-Gateway 6.7.6 2008.10.13 - Sophos 4.34.0 2008.10.13 - Sunbelt 3.1.1719.1 2008.10.13 - Symantec 10 2008.10.13 - TheHacker 6.3.1.0.108 2008.10.11 - TrendMicro 8.700.0.1004 2008.10.13 - VBA32 3.12.8.6 2008.10.12 - ViRobot 2008.10.13.1417 2008.10.13 - VirusBuster 4.5.11.0 2008.10.12 - weitere Informationen File size: 49152 bytes MD5...: eb11cc1a21a671a92a7678dc77d5d0e3 SHA1..: e28d3fed95a25cf711b75916ce3284ee6203b8c2 SHA256: 87e10852319eb194844146832220f99dc056c626156ad6c6ed467e5118446204 SHA512: f52ae78308808345443d57f9f49f46b491bb14c68ba0f9c11e0c5181128bced6 6acdd777dc0352eb7bf9fa449be0c5e5f7c304ff03ae1d4fd3b105e9fffaf1b2 PEiD..: Armadillo v1.xx - v2.xx TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10002288 timedatestamp.....: 0x3eee6b30 (Tue Jun 17 01:13:20 2003) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x58fa 0x6000 6.36 faf66513784c584e6d11b898ec0b6da9 .rdata 0x7000 0xf58 0x1000 5.21 ea63885d4cb157ef3011596439138f9a .data 0x8000 0x33c0 0x3000 0.71 756e67c3c78319b6b3c54e4de376907f .reloc 0xc000 0xd70 0x1000 3.51 960f5299948c65fee351c757278621c2 ( 5 imports ) > KERNEL32.dll: HeapReAlloc, CloseHandle, CreateFileA, CreateEventA, SleepEx, GetVersion, TerminateThread, ReadFileEx, GetCommandLineA, HeapFree, CreateThread, GetLastError, ExitProcess, TerminateProcess, GetCurrentProcess, HeapSize, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, SetHandleCount, GetStdHandle, GetFileType, HeapAlloc, GetEnvironmentStringsW, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetModuleHandleA, GetEnvironmentVariableA, GetVersionExA, ExitThread, HeapCreate, VirtualFree, WriteFile, VirtualAlloc, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, RtlUnwind, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, InterlockedDecrement, InterlockedIncrement, GetStartupInfoA, DeleteCriticalSection, HeapDestroy > USER32.dll: CreateWindowExA, ShowWindow, RegisterClassA, LoadCursorA, UnregisterDeviceNotification, TranslateMessage, PostQuitMessage, DefWindowProcA, PostMessageA, RegisterDeviceNotificationA, GetMessageA, SendMessageA, DispatchMessageA > GDI32.dll: GetStockObject > HID.DLL: HidP_GetCaps, HidD_SetFeature, HidD_GetPreparsedData, HidD_GetAttributes, HidD_GetHidGuid, HidD_FreePreparsedData > SETUPAPI.dll: SetupDiGetClassDevsA, SetupDiEnumDeviceInterfaces, SetupDiDestroyDeviceInfoList, SetupDiGetDeviceInterfaceDetailA ( 3 exports ) InitDriver, RemoveDevice, SetKbdFeatures Datei HIDMNT.dll empfangen 2008.10.13 11:35:40 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 37 und 53 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.13.0 2008.10.13 - AntiVir 7.8.1.34 2008.10.13 - Authentium 5.1.0.4 2008.10.12 - Avast 4.8.1248.0 2008.10.12 - AVG 8.0.0.161 2008.10.12 - BitDefender 7.2 2008.10.13 - CAT-QuickHeal 9.50 2008.10.13 - ClamAV 0.93.1 2008.10.13 - DrWeb 4.44.0.09170 2008.10.13 - eSafe 7.0.17.0 2008.10.12 - eTrust-Vet 31.6.6141 2008.10.10 - Ewido 4.0 2008.10.12 - F-Prot 4.4.4.56 2008.10.12 - F-Secure 8.0.14332.0 2008.10.13 - Fortinet 3.113.0.0 2008.10.13 - GData 19 2008.10.13 - Ikarus T3.1.1.34.0 2008.10.13 - K7AntiVirus 7.10.491 2008.10.11 - Kaspersky 7.0.0.125 2008.10.13 - McAfee 5403 2008.10.11 - Microsoft 1.4005 2008.10.13 - NOD32 3516 2008.10.13 - Norman 5.80.02 2008.10.10 - Panda 9.0.0.4 2008.10.13 - PCTools 4.4.2.0 2008.10.12 - Prevx1 V2 2008.10.13 - Rising 20.66.02.00 2008.10.13 - SecureWeb-Gateway 6.7.6 2008.10.13 - Sophos 4.34.0 2008.10.13 - Sunbelt 3.1.1719.1 2008.10.13 - Symantec 10 2008.10.13 - TheHacker 6.3.1.0.108 2008.10.11 - TrendMicro 8.700.0.1004 2008.10.13 - VBA32 3.12.8.6 2008.10.12 - ViRobot 2008.10.13.1417 2008.10.13 - VirusBuster 4.5.11.0 2008.10.12 - weitere Informationen File size: 11776 bytes MD5...: d62d78cfd55ee4d69033ef342893c10a SHA1..: 0b49617ecaa3f85994da1a272fbd60970909c373 SHA256: 2c78eba474d4e4788a10f2a8bfee9d6d50238e9f4619d95907faf295347bbd72 SHA512: 3f9da7e440fdfb76666980754cb78f656d7403064db7e56ca16e6f94158c8248 f6f2e32f226089a68a1ef8510d79410d98ba45a225f3e08c3d8fe3f316b8f9be PEiD..: Armadillo v1.xx - v2.xx TrID..: File type identification Win32 Dynamic Link Library (generic) (65.4%) Generic Win/DOS Executable (17.2%) DOS Executable Generic (17.2%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1c002b83 timedatestamp.....: 0x3ec4d4fb (Fri May 16 12:09:31 2003) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1c44 0x1e00 5.54 0d4fbc2c73f1f83e9db234b1918fbbe1 .rdata 0x3000 0x614 0x800 4.09 0c07b6065ffe7febcdbe7f5110b9b332 .data 0x4000 0x154 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b .reloc 0x5000 0x142 0x200 3.66 1cfc3a4753fe6a136091f71caf6f49de ( 5 imports ) > HID.DLL: HidP_GetScaledUsageValue, HidP_GetCaps, HidD_FreePreparsedData, HidD_GetAttributes, HidD_GetPreparsedData, HidP_MaxUsageListLength, HidP_GetSpecificValueCaps, HidP_GetSpecificButtonCaps, HidD_SetFeature, HidD_GetFeature, HidD_GetHidGuid, HidP_GetUsageValue, HidP_GetUsages, HidP_SetUsageValue, HidP_SetUsages > SETUPAPI.dll: SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInterfaceDetailA, SetupDiGetClassDevsA, SetupDiDestroyDeviceInfoList > MSVCRT.dll: memset, calloc, _adjust_fdiv, malloc, _initterm, strcpy, realloc, free > KERNEL32.dll: ReadFileEx, ExitThread, CreateThread, TerminateThread, SleepEx, WriteFile, ReadFile, CloseHandle, LocalAlloc, GetLastError, CreateFileA > USER32.dll: RegisterDeviceNotificationA, UnregisterDeviceNotification, PostMessageA ( 7 exports ) CloseHID, CloseHIDDevice, OpenHIDDevice, RegisterHidInterface, StartReadHID, StopReadHID, UnRegisterHidInterface ThreatExpert info: xxxp://www.threatexpert.com/report.aspx?md5=d62d78cfd55ee4d69033ef342893c10a Gut, Das wär dann alles. Ich hoffe das hilft. Vielen Dank für deine Hilfe, gin |
|
13.10.2008, 14:33
| #9 |
| /// AVZ-Toolkit Guru | Virtumonde.dll - Plage Gut. Das sieht alles sauber aus. Wenn du keine Probleme mehr hast dann bist du entlassen..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
15.10.2008, 11:40
| #10 |
| | Virtumonde.dll - Plage Hi, Scheint nun alles wieder bestens zu sein. Ich bin dir sehr dankbar für deine Hilfe.http://www.trojaner-board.de/images/smilies/dankeschoen.gif Alles Gute , Gin |
|
| Themen zu Virtumonde.dll - Plage |
| abgesicherten modus, adobe, antivir, antivirus, avira, bho, excel, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, log-file, mozilla, nvidia, programme, rundll, software, system, virtumonde.dll, virus, windows, windows xp, windows xp sp3, wmp, xp sp3 |
Linear-Darstellung
