Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde)

gennieser1 · 09.12.2007, 02:19

Guten Abend!

Prügel mich nun seit ein paar Tagen mit einem Virus mit Namen :Virtumonde oder so ähnlich rum.
Habe nach langem suchen im I-Net und auch aus Tips von hier anscheinend den Virus besiegt.
Spybot meldet nichts mehr, Kaspersky auch nicht mehr.
Nur die One Care Sache von Windows meldete noch immer beim scannen diesen Virus.
Habe dann mal Vundo-Fix V6.7.0 drüber laufen lassen .
LOGFILE:
VundoFix V6.7.0

Checking Java version...

Sun Java not detected
Scan started at 23:33:20 06.12.2007

Listing files found while scanning....

C:\windows\system32\jkhhh.dll

Beginning removal...

Attempting to delete C:\windows\system32\jkhhh.dll
C:\windows\system32\jkhhh.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.0

Checking Java version...

Sun Java not detected
Scan started at 23:58:58 06.12.2007

Listing files found while scanning....

No infected files were found.

VundoFix V6.7.0

Checking Java version...

Sun Java not detected
Scan started at 18:17:29 07.12.2007

Listing files found while scanning....

No infected files were found.

Beginning removal...

VundoFix V6.7.0

Checking Java version...

Sun Java not detected
Scan started at 17:16:57 08.12.2007

Listing files found while scanning....

No infected files were found.

VundoFix V6.7.0
[/B]
Checking Java version...

Sun Java not detected
Scan started at 23:35:01 08.12.2007

Listing files found while scanning....

No infected files were found.
[/B]

Danach alle Scannprog. wieder.Und wieder nichts ausser wieder bei One Care und das nur wenn es selbst scannt (Task).
Und wieder fand es den Virus : Virtumonde.
Ansonsten nichts.
Dann mal versucht die Logfiles von HJT zu analisieren und siehe da ich fand auch diese DDC Dateien die ich nicht zuordnen konnte.
Habe dann danach gegoogelt und ne Seite gefunden die auch beschrieb wo in der Registry sich dieses Teil ein trägt und was es verändert.
Habe diese Dateien dann gelöscht/rück-geändert

und das System neu gestartet.
Danach konnte ich auch die DDC Dateien ( DDC.exe ) löschen.

Ging ja vorher nicht da es ein aktiver von sich aus immer wieder startender Prozess war.(Durch eigenständigen Registryeintrag )
Nun wollte ich hier mal erfahren ob die aktuelle Logfile von HJT sauber ist.
Währe nett wenn jemand mal drüber schauen kann damit ich weiß ob ich Systehmwiederherstellung wieder einschalten kann und nun eine Rettungs-Cd erstellen kann für künftigen Virenbefall.

Hie der aktuelle Log:

Logfile of HijackThis v1.99.1
Scan saved at 01:18:44, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
D:\Anwendungen\ad-aware07\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\emMON.exe
D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Anwendungen\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Anwendungen\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
D:\Anwendungen\Nero 8\InCD\InCDsrv.exe
C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Microsoft Windows OneCare Live\winss.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
D:\Internet\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Genieser1\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [OneCareUI] "C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Anwendungen\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [emMON] emMON.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - Startup: OpenOffice.org 2.3.lnk = D:\Anwendungen\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk.disabled
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Internet\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Internet\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Internet\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://D:\Internet\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Anwendungen\Kaspersky-Anti-Vir\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://h**p://www.kaspersky.com/kos/...an_unicode.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://h**p://www.systemrequirements...sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://www.update.microsoft.c...?1194568181218
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://h**p://www.nvidia.com/content...aSmartScan.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://h**p://javadl-esd.sun.com/upd...ws-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{722E66EE-BA3F-4E8B-8A8D-D9CA14BC9422}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF6FC620-696B-4CAF-91FA-2954420CA338}: NameServer = 192.168.178.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Anwendungen\ad-aware07\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Anwendungen\Nero 8\InCD\InCDsrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.ex

Vielen Dank im Vorraus für eure Mühe.

Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde)

Alles rund um Windows: Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde)

Problem: Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde)

Ähnliche Themen: Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde)