Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner "Virtumonde" und seine üblen Kumpane...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.09.2007, 20:38   #1
Gabriela
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



Hallo zusammen

Da ich so langsam mit meinem Rechner nicht mehr weiter weiss wende ich mich an euch Profis.

Ich habe auf meinem Computer antivir installiert und seit einigen Tagen meldet ativir immer und immer und immer wieder dass mein Computer von Trojanern befallen wäre. Die Optionen die ich dann habe (Quarantäne, löschen, ignorieren) nützten mir bisher auch nichs.

Etliche Stunden später habe ich nun diverse Onlinescanner (Trendmicro, panda, kaperski, bitdefener) ausprobiert und auch andere Removal Tools (adaware 2007, Spybot Search & Destroy) verwendet. Diese finden immer wieder die gleichen üblen Gesellen. Die meisten davon lassen sich dann auch entfernen - sind jedoch nach dem Neustart schnell wieder da. Am hartnäckigsten scheint mir der Trojaner "Virtumonde" zu sein... der kommt wirklich immer wieder.

Als letzte Hoffnung bevor ich das Ding zum Fenster rauswerfe poste ich euch noch mein HJT File. Vielleicht weiss ja jemand von euch weiter. Vielen Dank schonmal im Vorraus ihr seid die Besten

Liebe Grüsse
Gabriela


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:09, on 23.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Siemens\Adsl\dslstat.exe
C:\Program Files\Siemens\Adsl\dslagent.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\WLANSTA.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Extra Film Digitorder\Agent.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\zstatus.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Octoshape Streaming Services\Gabriela\OctoshapeClient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
F2 - REG:system.ini: UserInit=C:\Windows\System32\userinit.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [hp 1000 firmware] C:\Programme\hp LaserJet 1000\fwdl.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Siemens\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Siemens\Adsl\dslagent.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] "C:\Programme\Extra Film Digitorder\Agent.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\rmjueqod.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ChkMail] èn
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\Gabriela\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: in/mit BitSpirit runterladen - C:\Programme\BitSpirit\bsurl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - h**p://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - h**p://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096061192250
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - h**p://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - h**p://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - h**p://www.kochmesser.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A57B18E-2F5D-11D5-8997-00104BD12D94} (compid Class) - h**p://support.gateway.com/support/serialharvest/gwCID.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {AB4DFFDE-F9DC-4331-89DA-90E346540D59} (futureLAB ImageUploader) - h**p://upload.smartfoto.ch/helpers/fLImageUploader.cab
O16 - DPF: {D32C3BAD-5213-49BD-A7D5-E6DE6C0D8249} (CRAVOnline Object) - h**p://www.rav.ro/scan/ravonline.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\Windows\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 10281 bytes

Alt 23.09.2007, 22:02   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



Hallo.


C:\WINDOWS\system32\rmjueqod.dll


Werte diese Datei zuerst online bei Virustotal aus und poste das Ergebnis.
Egal was heraus herauskommt, führ erst diesen check durch und führ dann vundofix aus, damit kann man virtumonde/vundo recht zuverlässig entfernen:
* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
Führ auch mal folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Blacklight
- Silentrunners
Und mach bitte ein Filelist:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
__________________

__________________

Alt 24.09.2007, 10:27   #3
Gabriela
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



Hallo cosinus

Vielen Dank für die schnelle Antwort. Ich versuche nun alles was du gesagt hast Schritt für Schritt zu machen.

Die Datei C:\WINDOWS\system32\rmjueqod.dll habe ich bei Virustotal auswerten lassen, wobei 3 der Scanner irgendetwas gefunden haben. Leider habe ich die Auswertung nicht mehr weil ich danach VundoFix.exe benutzt habe und diese ja den Computer neustartet. (Da habe ich wohl zu wenig überlegt). Nach der VundoFix.exe war die Datei C:\WINDOWS\system32\rmjueqod.dll jedoch nicht mehr vorhanden somit konnte ich sie auch nicht noch einmal bei Virustotal auswerten lassen
Die VundoFix.exe hat übrigens mehrere Sachen gefunden und musste insgesammt ca. 3 mal Neustarten bis sie nichts mehr gefunden hat (keine Ahnung ob das wichtig ist).

Gerade eben habe ich noch den eScan nach Anleitung durchgeführt und kann jetzt das logfile posten. Die anderen Tools (Blacklight, Silentrunners) und die Filelist werde ich gleich versuchen durchzulaufen - die Ergebnisse editiere ich dann in diesen post. Vielen Dank auf jeden Fall schonmal für deine/eure (falls noch andere helfen wollen) Bemühungen. Ich weiss nicht was ich ohne dieses Forum sonst noch machen könnte.

Liebe Grüsse
Gabriela


eScan Auswertung:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 9/21/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "search assistant Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with abetterinternet Spyware/Adware (alchem.ini)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (libeay32_1-1-0_ddr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (ssleay32_1-1-0_ddr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (stlport_4_0_0_ddr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (xerces-c_1_40_0_ddr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with lingling Trojan (C:\WINDOWS\system32\~.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Gabriela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2QBIZJCB\landing[1].htm infiziert von "Trojan-Downloader.JS.Psyme.me" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\opnoo.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\opnoo.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\opnoo.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\opnoo.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Gabriela\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Gabriela\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Program Files\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.614. Keine Aktion vorgenommen.
File C:\VundoFix Backups\opnoo.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Windows\system32\opnoo.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\alchem.ini
Offending file found: C:\WINDOWS\system32\libeay32_1-1-0_ddr.dll
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\ssleay32_1-1-0_ddr.dll
Offending file found: C:\WINDOWS\system32\stlport_4_0_0_ddr.dll
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\xerces-c_1_40_0_ddr.dll
Offending file found: C:\WINDOWS\system32\~.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kazaa
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKLM\Software\microsoft\windows sa !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\autoplay.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\Gabriela\Lokale Einstellungen\Temp\AVPDC7.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Gabriela\Lokale Einstellungen\Temp\gtb24.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\MUSICMATCH\MUSICMATCH Update\MMJB\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 109526
Gefundene Viren: 25
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 285
Dauer des Scans bisher: 01:52:46
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 10:16:08.97
Batchende: 10:17:02.96


Edit1: Also ich habe jetzt auch Blacklight drüber laufen lassen. Im Normalen nicht abgesicherten Modus - hoffe das ist richtig so. Der hat mir dann nach dem Schritt1 eine Liste ausgespuckt und dann konnte ich für diese ganze Liste irgendwie nur die Option "rename" wählen. Und ein logfile etc. welches ich hier posten könnte hat es auch nicht generiert *ratlos*. Ich versuche mich jetzt mal an Silentrunners und der Filelist.
__________________

Geändert von Gabriela (24.09.2007 um 11:23 Uhr)

Alt 24.09.2007, 11:28   #4
Gabriela
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



Hier noch das Ergebnis von Silentunners - ich konnte das log nicht mehr in meinen letzten Post editieren weil dieser sonst zu lang geworden wäre

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"ChkMail" = "èn" [file not found]
"Octoshape Streaming Services" = ""C:\Programme\Octoshape Streaming Services\Gabriela\OctoshapeClient.exe" -inv:bootrun" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchAp" = "C:\Program Files\Launch Manager\LaunchAp.exe" [empty string]
"HotkeyApp" = "C:\Program Files\Launch Manager\HotkeyApp.exe" [null data]
"CtrlVol" = "C:\Program Files\Launch Manager\CtrlVol.exe" [null data]
"Wbutton" = ""C:\Program Files\Launch Manager\Wbutton.exe"" [empty string]
"LTSMMSG" = "LTSMMSG.exe" ["Lucent Technologies"]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"NeroCheck" = "C:\WINDOWS\System32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"InCD" = "C:\Programme\Ahead\InCD\InCD.exe" [null data]
"hp 1000 firmware" = "C:\Programme\hp LaserJet 1000\fwdl.exe" ["Zenographics"]
"DSLSTATEXE" = "C:\Program Files\Siemens\Adsl\dslstat.exe icon" ["GlobespanVirata, Inc."]
"DSLAGENTEXE" = "C:\Program Files\Siemens\Adsl\dslagent.exe" [null data]
"AtiPTA" = "atiptaxx.exe" ["ATI Technologies, Inc."]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"BJCFD" = "C:\Programme\BroadJump\Client Foundation\CFD.exe" ["BroadJump, Inc."]
"WLANSTA.EXE" = "WLANSTA.EXE START" ["NETGEAR"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"Microsoft Works Update Detection" = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" ["Microsoft® Corporation"]
"ExtraFilmHemmaAgent" = ""C:\Programme\Extra Film Digitorder\Agent.exe"" [null data]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{351BAD1F-6168-463B-AC50-27A771CFC0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\cbayx.dll" [file not found]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\windows\downloaded program files\googletoolbar3.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]
{F13857B1-A088-4A0B-9E6B-D90130E83211}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\opnoo.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1D2680C9-0E2A-469d-B787-065558BC7D43}" = "Fusion Cache"
-> {HKLM...CLSID} = "Fusion Cache"
\InProcServer32\(Default) = "C:\WINDOWS\system32\mscoree.dll" [file not found]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{EBDF1F20-C829-11D1-8233-0020AF3E97A6}" = "PDG Context Menu Shell Extension"
-> {HKLM...CLSID} = "PDG Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\PDG3~1\contmenu.dll" [null data]
"{D00900BC-23F7-4FD6-BFA2-8232112C5C49}" = "NRad Extension"
-> {HKLM...CLSID} = "NRadExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\NRad.dll" [empty string]
"{5380C14E-C0A1-4D66-87DB-5995E6FF4623}" = "Rad Extension"
-> {HKLM...CLSID} = "RadPropExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Rad.dll" [empty string]
"{D2FD83AE-994A-4D4B-9097-2C9E11ED85F0}" = "RadClkr Extension"
-> {HKLM...CLSID} = "RadClkRExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\RadClkR.dll" [empty string]
"{C6844A1E-2C59-415A-84B3-C6A458372779}" = "RadType Extension"
-> {HKLM...CLSID} = "RadTypeExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\RadType.dll" [empty string]
"{75B8D633-9021-442C-9EA4-FF4BE72CE20F}" = "NRad2 Extension"
-> {HKLM...CLSID} = "NRadExt2 Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\NRad.dll" [empty string]
"{36518101-49AC-42CB-8E4C-40C1F328A565}" = "Rad2 Extension"
-> {HKLM...CLSID} = "RadPropExt2 Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Rad.dll" [empty string]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{35B2861B-2B26-4691-9FF0-09083722C736}" = "RadExe Extension"
-> {HKLM...CLSID} = "RadExeExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\RadExe.dll" [empty string]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "lsdelete" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> opnoo\DLLName = "C:\WINDOWS\system32\opnoo.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> application/octet-stream\CLSID = "{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
-> {HKLM...CLSID} = "Cor MIME Filter, CorFltr, CorFltr 1"
\InProcServer32\(Default) = "C:\WINDOWS\system32\mscoree.dll" [file not found]
<<!>> application/x-complus\CLSID = "{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
-> {HKLM...CLSID} = "Cor MIME Filter, CorFltr, CorFltr 1"
\InProcServer32\(Default) = "C:\WINDOWS\system32\mscoree.dll" [file not found]
<<!>> application/x-msdownload\CLSID = "{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
-> {HKLM...CLSID} = "Cor MIME Filter, CorFltr, CorFltr 1"
\InProcServer32\(Default) = "C:\WINDOWS\system32\mscoree.dll" [file not found]
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ContMenu\(Default) = "{EBDF1F20-C829-11D1-8233-0020AF3E97A6}"
-> {HKLM...CLSID} = "PDG Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\PDG3~1\contmenu.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ContMenu\(Default) = "{EBDF1F20-C829-11D1-8233-0020AF3E97A6}"
-> {HKLM...CLSID} = "PDG Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\PDG3~1\contmenu.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
ContMenu\(Default) = "{EBDF1F20-C829-11D1-8233-0020AF3E97A6}"
-> {HKLM...CLSID} = "PDG Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\PDG3~1\contmenu.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Gabriela\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\scrnsave.scr" [MS]


Startup items in "Gabriela" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"D-Link AirPlus" -> shortcut to: "C:\Programme\D-Link AirPlus\AirPlus.exe" ["D-Link"]
"InterVideo WinCinema Manager" -> shortcut to: "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" [empty string]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
"XoftSpy" -> launches: "C:\Programme\XoftSpy\XoftSpy.exe -t" ["ParetoLogic Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 30
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\windows\downloaded program files\googletoolbar3.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\windows\downloaded program files\googletoolbar3.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\windows\downloaded program files\googletoolbar3.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
iPod Service, iPod Service, ""C:\Programme\iPod\bin\iPodService.exe"" ["Apple Computer, Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
CLPA1 Langmon\Driver = "clpa1lmk.dll" ["Samsung Electronics."]
hpZJLanguageMonitor\Driver = "ZLMhp1.DLL" ["Zenographics"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


---------- (launch time: 2007-09-24 11:24:09)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 60 seconds, including 14 seconds for message boxes)

Alt 24.09.2007, 11:40   #5
Gabriela
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



So und hier noch als letztes die filelist. Ich hoffe ich habe alles richtig gemacht und irgendjemand wird aus den ganzen logs schlau, denn ich verstehe hier nur Bahnhof

Vielen vielen Dank schonmal im Vorraus an alle meine Helfer

Liebe Grüsse
Gabriela

Filelist:

Verzeichnis von C:\

24.09.2007 10:31 805'306'368 pagefile.sys
24.09.2007 10:11 0 23990098.$$$
23.09.2007 22:31 2'211 VundoFix.txt
23.09.2007 21:22 2'073 rapport.txt
23.09.2007 09:28 9'768'492 reclock_log.txt

Verzeichnis von C:\WINDOWS\system32

24.09.2007 11:33 637'255 oonpo.ini
24.09.2007 10:33 1'158 wpa.dbl
23.09.2007 21:21 0 tmp.txt
23.09.2007 21:21 4'180 tmp.reg
23.09.2007 20:11 693'661 ahaaockc.ini
22.09.2007 19:28 262'708 opnoo.dll
22.09.2007 18:14 693'601 idfkxapx.ini
21.09.2007 13:40 24'576 ~.exe
06.09.2007 04:50 17'474'680 MRT.exe
06.09.2007 00:22 289'144 VCCLSID.exe
29.08.2007 16:31 249'772 TZLog.log

Verzeichnis von C:\WINDOWS\Prefetch

24.09.2007 11:30 18'344 NOTEPAD.EXE-336351A9.pf
24.09.2007 11:30 10'730 REG.EXE-0D2A95F7.pf
24.09.2007 11:30 18'692 CMD.EXE-087B4001.pf
24.09.2007 11:30 11'316 FINDSTR.EXE-0CA6274B.pf
24.09.2007 11:30 7'196 MORE.COM-32DCB7E4.pf
24.09.2007 11:29 14'790 WINRAR.EXE-3588DFE8.pf
24.09.2007 11:26 59'812 AVNOTIFY.EXE-22AE9451.pf
24.09.2007 11:26 47'886 UPDATE.EXE-13D57D76.pf
24.09.2007 11:25 14'132 PREUPD.EXE-358AA1C1.pf
24.09.2007 11:24 72'960 WMIPRVSE.EXE-28F301A9.pf
24.09.2007 11:24 29'966 WSCRIPT.EXE-32960AB9.pf
24.09.2007 10:51 40'892 SCRNSAVE.SCR-017F06EB.pf
24.09.2007 10:37 21'652 WKUFIND.EXE-18C07230.pf
24.09.2007 10:37 14'708 FSBL.EXE-356F3D9B.pf
24.09.2007 10:33 40'410 WGATRAY.EXE-0ED38BED.pf
24.09.2007 10:33 17'272 ALG.EXE-0F138680.pf
24.09.2007 10:33 19'272 WUAUCLT.EXE-399A8E72.pf
24.09.2007 10:33 85'472 IEXPLORE.EXE-2CA9778D.pf
24.09.2007 10:32 14'786 SVCHOST.EXE-3530F672.pf
24.09.2007 10:32 13'788 IPODSERVICE.EXE-233792DA.pf
24.09.2007 10:32 24'496 OCTOSHAPECLIENT.EXE-1A1E872B.pf
24.09.2007 10:32 45'054 IMAPI.EXE-0BF740A4.pf
24.09.2007 10:32 11'976 WINCINEMAMGR.EXE-04A7509F.pf
24.09.2007 10:32 20'838 AIRPLUS.EXE-1F8169E0.pf
24.09.2007 10:32 642'222 NTOSBOOT-B00DFAAD.pf
23.09.2007 22:54 20'852 LOGONUI.EXE-0AF22957.pf
23.09.2007 22:53 18'028 DOWNLOAD.EXE-288448C9.pf
23.09.2007 22:53 47'980 SCANNINGPROCESS.EXE-0834EE53.pf
23.09.2007 22:53 14'856 MWAVL.EXE-1B22226E.pf
23.09.2007 22:52 10'856 MEXE.COM-0012201D.pf
23.09.2007 22:52 76'170 MWAV.EXE-27B6FAE8.pf
23.09.2007 22:32 27'188 ZSTATUS.EXE-2B6D1B4B.pf
23.09.2007 22:32 18'612 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf
23.09.2007 22:32 54'056 AVGNT.EXE-36CA4640.pf
23.09.2007 22:32 17'082 CTFMON.EXE-0E17969B.pf
23.09.2007 22:32 14'082 MSMSGS.EXE-32066BA5.pf
23.09.2007 22:24 11'732 REGEDIT.EXE-1B606482.pf
23.09.2007 22:21 8'562 VUNDOFIXSVC.EXE-18ADD79E.pf
23.09.2007 22:20 11'248 SHUTDOWN.EXE-12DAD820.pf
23.09.2007 22:12 15'950 VUNDOFIX.EXE-00C8411B.pf
23.09.2007 22:12 19'116 RUNDLL32.EXE-3A0E5674.pf
23.09.2007 22:07 13'288 VERCLSID.EXE-3667BD89.pf
23.09.2007 20:19 25'732 HIJACKTHIS.EXE-39024128.pf
23.09.2007 20:19 24'604 GUARDGUI.EXE-1BD45C30.pf
23.09.2007 20:14 54'276 AVCENTER.EXE-37584419.pf
23.09.2007 19:56 25'680 DFRGNTFS.EXE-269967DF.pf
23.09.2007 19:56 31'614 DEFRAG.EXE-273F131E.pf
23.09.2007 19:55 163'212 Layout.ini
23.09.2007 19:26 36'268 SPYBOTSD.EXE-1D495A65.pf
23.09.2007 16:12 6'772 UPD81.BPX-0C69427E.pf
23.09.2007 16:10 15'278 REGSVR32.EXE-25EEFE2F.pf
23.09.2007 16:03 24'270 TC6.EXE-12ABF9C1.pf
23.09.2007 14:34 54'856 SDUPDATE.EXE-30CF90C0.pf
23.09.2007 13:11 46'714 AVSCAN.EXE-05AECC0E.pf
23.09.2007 12:48 33'664 AD-AWARE2007.EXE-1AE91ED3.pf
23.09.2007 11:27 49'218 HELPSVC.EXE-2878DDA2.pf
23.09.2007 07:59 11'326 ITUNESHELPER.EXE-08906EB7.pf
23.09.2007 07:59 15'226 AGENT.EXE-06F20C5A.pf
23.09.2007 07:59 11'004 SYNTPENH.EXE-3967AE36.pf
23.09.2007 07:59 11'706 LTSMMSG.EXE-2E42CB64.pf
23.09.2007 07:59 8'008 SYNTPLPR.EXE-0AB61C3B.pf
23.09.2007 07:59 9'080 CTRLVOL.EXE-3824587E.pf
23.09.2007 07:58 6'036 NEROCHECK.EXE-092C6DFA.pf
22.09.2007 23:06 20'098 REALSCHED.EXE-0A2A7558.pf
22.09.2007 21:36 86'680 REALPLAY.EXE-39F79CBD.pf
21.09.2007 17:29 13'650 W3XMAPHACK12101.EXE-22436F55.pf
21.09.2007 17:28 16'174 AUTOHOTKEY.EXE-1B607C2C.pf
19.09.2007 16:25 12'910 RUNDLL32.EXE-451FC2C0.pf
68 Datei(en) 2'532'376 Bytes
0 Verzeichnis(se), 13'558'472'704 Bytes frei

Verzeichnis von C:\WINDOWS

24.09.2007 10:34 1'721'883 WindowsUpdate.log
24.09.2007 10:33 159 wiadebug.log
24.09.2007 10:32 50 wiaservc.log
24.09.2007 10:32 0 0.log
24.09.2007 10:32 3'846 ModemLog_Lucent Technologies Soft Modem AMR.txt
24.09.2007 10:31 2'048 bootstat.dat
24.09.2007 08:30 40'715 setupapi.log
24.09.2007 08:18 50 Lic.xxx
24.09.2007 08:16 942'770 ntbtlog.txt
23.09.2007 22:54 32'622 SchedLgU.Txt
23.09.2007 22:45 1'026 win.ini
23.09.2007 21:21 216'378 setupact.log
23.09.2007 20:13 98 cookies.ini
23.09.2007 12:43 54'156 QTFont.qfn
22.09.2007 21:29 94 wininit.ini
17.09.2007 18:13 1'409 QTFont.for
13.09.2007 01:48 71'733 War3Unin.dat
13.09.2007 01:40 2'829 War3Unin.pif
13.09.2007 01:40 139'264 War3Unin.exe
13.09.2007 00:48 142'177 iis6.log
13.09.2007 00:48 304'948 comsetup.log
13.09.2007 00:48 185'270 ntdtcsetup.log
13.09.2007 00:48 355'538 tsoc.log
13.09.2007 00:48 1'917 imsins.log
13.09.2007 00:48 49'205 ocmsn.log
13.09.2007 00:48 456'324 ocgen.log
13.09.2007 00:48 45'627 msgsocm.log
13.09.2007 00:48 907'282 FaxSetup.log
29.08.2007 16:32 1'374 imsins.BAK
29.08.2007 16:32 21'436 KB933360.log

Verzeichnis von C:\WINDOWS\tasks

24.09.2007 10:31 6 SA.DAT

Verzeichnis von C:\WINDOWS\temp

24.09.2007 10:51 255 WGAErrLog.txt
24.09.2007 10:33 409 WGANotify.settings
06.09.2007 13:10 0 Upd2D.tmp
05.09.2007 12:24 0 Upd2C.tmp
04.09.2007 12:24 0 Upd2B.tmp
03.09.2007 12:24 0 Upd2A.tmp
02.09.2007 12:23 0 Upd29.tmp
01.09.2007 11:48 0 Upd28.tmp
30.08.2007 22:23 0 Upd27.tmp
29.08.2007 22:23 0 Upd26.tmp
28.08.2007 22:22 0 Upd25.tmp
27.08.2007 19:55 0 Upd24.tmp
26.08.2007 19:55 0 Upd23.tmp
25.08.2007 16:55 0 Upd22.tmp
24.08.2007 16:55 0 Upd21.tmp
23.08.2007 16:55 0 Upd20.tmp

Verzeichnis von C:\DOKUME~1\Gabriela\LOKALE~1\Temp


Alt 24.09.2007, 18:17   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



Zitat:
dann konnte ich für diese ganze Liste irgendwie nur die Option "rename" wählen.
Wichtig wäre zu wissen, ob versteckte Objekte/Prozesse gefunden wurden!
Poste das Blacklight-Logfile!
__________________
--> Trojaner "Virtumonde" und seine üblen Kumpane...

Geändert von cosinus (24.09.2007 um 18:34 Uhr)

Alt 24.09.2007, 18:40   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



Ein paar Dateien und Registry-Einträge kannst du schonmal löschen. Geh dazu so vor:
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
ATTFilter
Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F13857B1-A088-4A0B-9E6B-D90130E83211}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{351BAD1F-6168-463B-AC50-27A771CFC0AD}
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnoo

Registry values to delete:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ChkMail
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute

Files to delete:
C:\WINDOWS\system32\cbayx.dll
C:\WINDOWS\system32\opnoo.dll
C:\WINDOWS\system32\oonpo.ini
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\ahaaockc.ini
C:\WINDOWS\system32\idfkxapx.ini
C:\WINDOWS\system32\~.exe
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.
6.) Poste ein neues silentrunners-Logfile.
7.) Führe dieses script aus (abspeichern, doppelklicken) und sende mir die listing.txt (liegt aufm desktop) per E-Mail, da fürs Board zu groß.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.09.2007, 19:21   #8
Gabriela
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



Zitat:
Zitat von cosinus Beitrag anzeigen
Wichtig wäre zu wissen, ob versteckte Objekte/Prozesse gefunden wurden!
Poste das Blacklight-Logfile!
Vielen Dank für deine beiden Antworten. Ich habe jetzt als erstes noch einmal BlackLight laufen lassen. Und jetzt habe ich auch das Logfile auf meinem Desktop entdeckt!!! Habe langsam so viele Removaltools etc. auf dem Desktop dass ich das wohl vorher gar nicht gefunden habe. Jedoch ist das Logfile so lang, dass ich es nicht hier posten kann... brauchst du das umbedingt? Ich werde jetzt als nächstes die 7 Punkte deines letzten Postings durcharbeiten. Soll ich dir das Blacklight-Logfile mit dem listing.txt per mail schicken oder nicht?

Ich melde mich wieder wenn ich die 7 Punkte durch habe. Vielen Dank für deine Antwort!!!

Liebe Grüsse
Gabriela

Alt 24.09.2007, 19:33   #9
Gabriela
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



5.) Poste den Inhalt der C:\avenger.txt Datei.

Dazu muss ich noch sagen, dass ich heute durch den Tag hindurch noch das Programm CCleaner ausprobiert habe. Dieses hat wohl schon einige der unnötigen Registry-Einträge gelöscht, so dass Avenger diese nicht mehr gefunden hat.

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ChkMail


Syntax error in line --- no registry value to delete found. Line will be ignored.
Error code: 0
Line: HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mkerfukm

*******************

Script file located at: \??\C:\Program Files\unkabasf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\cbayx.dll not found!
Deletion of file C:\WINDOWS\system32\cbayx.dll failed!

Could not process line:
C:\WINDOWS\system32\cbayx.dll
Status: 0xc0000034



File C:\WINDOWS\system32\opnoo.dll not found!
Deletion of file C:\WINDOWS\system32\opnoo.dll failed!

Could not process line:
C:\WINDOWS\system32\opnoo.dll
Status: 0xc0000034



File C:\WINDOWS\system32\oonpo.ini not found!
Deletion of file C:\WINDOWS\system32\oonpo.ini failed!

Could not process line:
C:\WINDOWS\system32\oonpo.ini
Status: 0xc0000034

File C:\WINDOWS\system32\tmp.reg deleted successfully.
File C:\WINDOWS\system32\ahaaockc.ini deleted successfully.
File C:\WINDOWS\system32\idfkxapx.ini deleted successfully.
File C:\WINDOWS\system32\~.exe deleted successfully.


Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F13857B1-A088-4A0B-9E6B-D90130E83211} not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F13857B1-A088-4A0B-9E6B-D90130E83211} failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{351BAD1F-6168-463B-AC50-27A771CFC0AD} deleted successfully.


Registry key HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnoo not found!
Deletion of registry key HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnoo failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

6.) Poste ein neues silentrunners-Logfile.

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"ChkMail" = "èn" [file not found]
"Octoshape Streaming Services" = ""C:\Programme\Octoshape Streaming Services\Gabriela\OctoshapeClient.exe" -inv:bootrun" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchAp" = "C:\Program Files\Launch Manager\LaunchAp.exe" [empty string]
"HotkeyApp" = "C:\Program Files\Launch Manager\HotkeyApp.exe" [null data]
"CtrlVol" = "C:\Program Files\Launch Manager\CtrlVol.exe" [null data]
"Wbutton" = ""C:\Program Files\Launch Manager\Wbutton.exe"" [empty string]
"LTSMMSG" = "LTSMMSG.exe" ["Lucent Technologies"]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"NeroCheck" = "C:\WINDOWS\System32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"hp 1000 firmware" = "C:\Programme\hp LaserJet 1000\fwdl.exe" ["Zenographics"]
"DSLSTATEXE" = "C:\Program Files\Siemens\Adsl\dslstat.exe icon" ["GlobespanVirata, Inc."]
"DSLAGENTEXE" = "C:\Program Files\Siemens\Adsl\dslagent.exe" [null data]
"AtiPTA" = "atiptaxx.exe" ["ATI Technologies, Inc."]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"BJCFD" = "C:\Programme\BroadJump\Client Foundation\CFD.exe" ["BroadJump, Inc."]
"WLANSTA.EXE" = "WLANSTA.EXE START" ["NETGEAR"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"Microsoft Works Update Detection" = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" ["Microsoft® Corporation"]
"ExtraFilmHemmaAgent" = ""C:\Programme\Extra Film Digitorder\Agent.exe"" [null data]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{5B7B3278-517C-4303-9F23-F36F182E5E7A}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\opnoo.dll" [file not found]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\windows\downloaded program files\googletoolbar3.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{EBDF1F20-C829-11D1-8233-0020AF3E97A6}" = "PDG Context Menu Shell Extension"
-> {HKLM...CLSID} = "PDG Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\PDG3~1\contmenu.dll" [null data]
"{D00900BC-23F7-4FD6-BFA2-8232112C5C49}" = "NRad Extension"
-> {HKLM...CLSID} = "NRadExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\NRad.dll" [empty string]
"{5380C14E-C0A1-4D66-87DB-5995E6FF4623}" = "Rad Extension"
-> {HKLM...CLSID} = "RadPropExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Rad.dll" [empty string]
"{D2FD83AE-994A-4D4B-9097-2C9E11ED85F0}" = "RadClkr Extension"
-> {HKLM...CLSID} = "RadClkRExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\RadClkR.dll" [empty string]
"{C6844A1E-2C59-415A-84B3-C6A458372779}" = "RadType Extension"
-> {HKLM...CLSID} = "RadTypeExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\RadType.dll" [empty string]
"{75B8D633-9021-442C-9EA4-FF4BE72CE20F}" = "NRad2 Extension"
-> {HKLM...CLSID} = "NRadExt2 Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\NRad.dll" [empty string]
"{36518101-49AC-42CB-8E4C-40C1F328A565}" = "Rad2 Extension"
-> {HKLM...CLSID} = "RadPropExt2 Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Rad.dll" [empty string]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{35B2861B-2B26-4691-9FF0-09083722C736}" = "RadExe Extension"
-> {HKLM...CLSID} = "RadExeExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\RadExe.dll" [empty string]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "lsdelete" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ContMenu\(Default) = "{EBDF1F20-C829-11D1-8233-0020AF3E97A6}"
-> {HKLM...CLSID} = "PDG Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\PDG3~1\contmenu.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ContMenu\(Default) = "{EBDF1F20-C829-11D1-8233-0020AF3E97A6}"
-> {HKLM...CLSID} = "PDG Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\PDG3~1\contmenu.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
ContMenu\(Default) = "{EBDF1F20-C829-11D1-8233-0020AF3E97A6}"
-> {HKLM...CLSID} = "PDG Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\PDG3~1\contmenu.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Gabriela\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\scrnsave.scr" [MS]


Startup items in "Gabriela" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"D-Link AirPlus" -> shortcut to: "C:\Programme\D-Link AirPlus\AirPlus.exe" ["D-Link"]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
"XoftSpy" -> launches: "C:\Programme\XoftSpy\XoftSpy.exe -t" ["ParetoLogic Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 30
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\windows\downloaded program files\googletoolbar3.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\windows\downloaded program files\googletoolbar3.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\windows\downloaded program files\googletoolbar3.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
iPod Service, iPod Service, ""C:\Programme\iPod\bin\iPodService.exe"" ["Apple Computer, Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
CLPA1 Langmon\Driver = "clpa1lmk.dll" ["Samsung Electronics."]
hpZJLanguageMonitor\Driver = "ZLMhp1.DLL" ["Zenographics"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


---------- (launch time: 2007-09-24 19:29:07)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 93 seconds, including 5 seconds for message boxes)

Um Punkt 7 mit dem Mail kümmer ich mich gleich. Vielen Dank!!!

Liebe Grüsse
Gabriela

Alt 24.09.2007, 20:18   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



Zitat:
Soll ich dir das Blacklight-Logfile mit dem listing.txt per mail schicken oder nicht?
Jo, das kannst du auch machen...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.09.2007, 20:39   #11
Gabriela
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



Zitat:
Zitat von cosinus Beitrag anzeigen
Jo, das kannst du auch machen...
gemacht

Alt 24.09.2007, 22:13   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



wegen Blacklight: Hab noch nie so viele angeblich versteckte Dateien in einem Logfile gesehen. Versteckt soll hier heißen, "richtig" versteckt, nicht wirklich sichtbar von deinem Windows aus. (Im Gegensatz zu Dateien, die das legitime Dateiattribut "versteckt" haben, das ist ein unterschied.)

Führ mal dieses script aus (Rechtsklick, Speichern auf Desktop, Doppelklick) - es sollte sich nur kurz das schwarze CMD-Fenster ("DOS-Fenster ) öffnen, aber die Beefehle löschen alle Dateien im Temp-ordner. Ich will mal wissen, ob der diese angeblichen versteckten Dateien mit entfernt.
Mach danach einen weiteren Check mit Blacklight und poste das Ergebnis.

Derweil schau ich mir das andere Logfile an.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.09.2007, 22:17   #13
Gabriela
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



Edit: ich habe das skript ausgeführt. Beim ausführen ist mir etwas aufgefallen. es kommt unten rechts beim Windows so ein kleines Fensterchen mit einem gelben Dreieck mit Ausrufezeichen. Mit der Nachricht: "cmd.exe - Datei beschädigt. Die Datei oder das Verzeichnis C:\$Mft ist beschädigt und nicht lesbar. Führen Sie CHKDSK aus.

Ich werde jetzt erstmal wieder Blacklight laufen lassen.

Geändert von Gabriela (24.09.2007 um 22:23 Uhr)

Alt 24.09.2007, 22:45   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



Zitat:
Mit der Nachricht: "cmd.exe - Datei beschädigt. Die Datei oder das Verzeichnis C:\$Mft ist beschädigt und nicht lesbar. Führen Sie CHKDSK aus.
Hmm...nicht dass sich noch deine Platte verabschiedet. Du solltest schon mal vorsichtshalber die wichtigsten Daten sichern, auf DVD brennen oder externe Platte kopieren.
da CMD.EXE bei die anscheinend hinüber ist, wirst du das chkdsk von der Notfallkonsole aus machen müssen - heißt, mit der Windows-CD zu booten. Du kannst das aber auch von einer anderen Notfall-CD machen, wenn du eine zur Hand hättest (BartPE, UBCD4WIN).
In der Notfallkonsole der Windows-CD jedenfalls musst du jedenalls chkdsk /p ausführen - aber warte erstmal ab, windows sollte eigentlich von selber merken wenn ein chkdsk fällig ist - lass Windows daher erstmal normal neustarten und beobachte was sich tut.

Zum listing.txt:
Zitat:
C:\BOARDMKR
C:\84f196f5984dc2f0dfd2e21e0e
C:\9344e2c75a187a8fb8afcd04
C:\zg
Diese Ordner sind mir aufgefallen, schau da mal hinein, evtl. kannst du die wohl löschen.

Zitat:
C:\Windows\system\IOSUBSYS
Der Ordner kommt mir merkwürdig vor in System (nicht system32!). Öffne den mal und schau nach was für Dateien da so drin sind.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.09.2007, 23:37   #15
Gabriela
 
Trojaner "Virtumonde" und seine üblen Kumpane... - Standard

Trojaner "Virtumonde" und seine üblen Kumpane...



Hallo cosinus,

Blacklight ist jetzt noch einmal durchgelaufen. Am Ende von Step 1 sagt mir das Programm:

Status - complete
8682 hidden items found.

Das Logfile habe ich kurz überflogen und es scheint ziemlich ähnlich zu sein wie dasjenige, das ich dir per mail geschickt habe. Der grösste Teil besteht aus irgendwelchen Temp dateien aber es ist zu lang um es hier zu posten. Ich werde es vorsichtshalber mal per Mail weiterleiten.

Zu den 4 Ordnern aus dem Listings.txt

C:\BOARDMKR
Kenne ich, das ist ein Programm welches ich für meine Arbeit brauche. Damit lassen sich Bildkommunikationstafeln herstellen um z.B. mit Kindern mit einer geistigen Behinderung zu arbeiten.

C:\84f196f5984dc2f0dfd2e21e0e
Kenne ich nicht. Hier befindet sich eine Datei mit dem Namen msxml4-KB927978-enu. Kann ich das einfach löschen?

C:\9344e2c75a187a8fb8afcd04
Kenne ich auch nicht. Darin befindet sich ein Ordner sp2. In diesem hat es den Ordner Update und die 2 Files spmsg.dll und spuninst.exe. Im Ordner Update ist eine eula.txt sowie spcustom.dll und update.exe. Hat das etwas mit dem service pack 2 zu tun? Auch hier die Frage kann ich das einfach löschen?

C:\zg
Diesen Ordner kenne ich und darin befinden sich nur Dateien bei denen ich gerade nicht wusste wohin aber ich kann ihn löschen.

Im Ordner C:\Windows\system\IOSUBSYS befindet sich nur eine Datei: UMSSPDR.pdr. Ich habe die Datei vorsichtshalber mit Virustotal getestet jedoch hat keine der Suchmaschinen etwas gefunden. Kann ich diesen Ordner löschen? Und wieso ist es merkwürdig wenn es nicht system32 sondern nur system ist? :-)

Wegen dem letzten Punkt. Meine Platte könnte sich verabschieden? Jetzt machst du mir aber Angst Denn ich weiss weder wie ich die kaputte Festplatte auswechseln könnte noch besitze ich eine Notfalll-CD. Wenn ich ehrlich bin weiss ich nicht mal mehr wo die Windows CD ist die ich zu dem Laptop bekommen habe (ist ja auch schon gut 5 Jahre her das ich das Ding gekauft habe ) Ich denke ich brenne erstmal die wichtigsten Daten auf eine CD und warte ab. Ach ja aber was ich noch probiert habe. Ich habe auf start->ausführen geklickt und dann "cmd.exe" und dann kam auf jeden Fall ein Kommandofenster. Heisst das nicht, dass meine cmd.exe noch funktionniert?

Auf jeden Fall muss ich sagen, dass ich jetzt schon eine ganze Weile an dem Computer sitze und seit Avenger & Co. hat sich antivir nie mehr gemeldet. Im Moment würde ich nicht einmal auf die Idee kommen, dass irgend etwas mit meinem Computer nicht stimmt. Von dem her ist schon alles viel besser als vorher. Nur weiss ich eben nicht ob das so bleibt. Auf jeden Fall schon 1000mal Danke dass du mir so schnell & nett geholfen hast.

Liebe Grüsse
Gabriela

Antwort

Themen zu Trojaner "Virtumonde" und seine üblen Kumpane...
ad-aware, antivir, avira, computer, defender, entfernen, excel, explorer, google, hijack, hijackthis, hkus\s-1-5-18, ignorieren, immer wieder, internet, internet explorer, langsam, launch, löschen, neustart, object, programme, quara, rundll, s-1-5-18, software, system, trend micro, trojaner, unknown file in winsock lsp, vielen dank, virtumonde, windows, windows xp



Ähnliche Themen: Trojaner "Virtumonde" und seine üblen Kumpane...


  1. "Suspicious.Cloud.9" (Trojaner) und "SAPE.DnwldSponsor.2" (Virus?, vielleicht False Positive)
    Plagegeister aller Art und deren Bekämpfung - 22.08.2015 (23)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Trojaner-Warnung! Im Betreff: "Die Zahlung fur…" und "Dankeschon fur das Einkaufen mit uns heute! Ihre Bestellung wird derzeit verarbeitet."
    Diskussionsforum - 25.07.2014 (0)
  4. Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (77)
  5. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  6. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  7. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  8. Startseite fehlerhaft, stets "NatWest" (www.nwolb.com) Trojaner "Trojan.ZBotR.Gen" gefunden
    Log-Analyse und Auswertung - 02.04.2012 (28)
  9. Trojaner "Es besteht keine Internetverbindung" - "REATOGO X-PE Desktop" wird nicht angezeigt
    Plagegeister aller Art und deren Bekämpfung - 05.02.2012 (19)
  10. Der Prozess "System" und seine extreme Speicherauslastung
    Log-Analyse und Auswertung - 06.07.2011 (1)
  11. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  12. virtumonde, smitfraud und "windows security alert"
    Plagegeister aller Art und deren Bekämpfung - 15.09.2008 (8)
  13. Windows Warning Message "Spywar detected on your computer" + Win32/Adware.Virtumonde
    Log-Analyse und Auswertung - 11.09.2008 (14)
  14. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  15. Virtumonde/Trojaner "Vundo" [Benötige Hilfe]
    Plagegeister aller Art und deren Bekämpfung - 27.03.2008 (23)
  16. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
  17. eTrust fand "einen" Trojaner, danach AntiVir noch "vier"..!!??
    Plagegeister aller Art und deren Bekämpfung - 26.12.2005 (5)

Zum Thema Trojaner "Virtumonde" und seine üblen Kumpane... - Hallo zusammen Da ich so langsam mit meinem Rechner nicht mehr weiter weiss wende ich mich an euch Profis. Ich habe auf meinem Computer antivir installiert und seit einigen Tagen - Trojaner "Virtumonde" und seine üblen Kumpane......
Archiv
Du betrachtest: Trojaner "Virtumonde" und seine üblen Kumpane... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.