Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Probleme mit Trojanern (Virtumonde?)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.01.2008, 13:19   #1
sarasilva
 
Probleme mit Trojanern (Virtumonde?) - Standard

Probleme mit Trojanern (Virtumonde?)



Hallo zusammen.

Ich fürchte, mein Problem ist nicht neu, aber die Ratschläge meiner Vorgänger haben mir nicht weiter geholfen und nun hoffe ich, dass man mir vielleicht so helfen kann.

Mein Problem bezieht sich vermutlich auf Trojaner, die anfangs nur die Arbeit des PCs sehr viel langsamer werden ließ, nun aber zu Abstürzen des Systemes führt. Ich habe gerade den gleichen Beitrag schon einmal ausführlicher verfasst, allerdings ist die Zeit leider begrenzt, bis der PC wieder abstürzt und mein Hilferuf mit ihm.
Es begann, wie erwähnt, mit langsameren Arbeiten und Werbefenstern, bis nun vor etwa 4 Tagen der PC das erste Mal abstürzte. Zu dem Zeitpunkt dachte ich als Laie noch, ein Scan mit Ad Aware würde das Problem beseitigen, ich fragte Freunde, die mir ähnliches geraten haben, doch die Verbesserungen waren zeitlich begrenzt und bei einem Neustart tauchten auch die verdächtigen Dateien wieder im Virenscan auf. Löschen wurde letztendlich unmöglich, da während des Löschvorgangs durch Ad Aware der PC abstürzte.
Ich installierte Spybot und Zone Alarm, Spybot fand einige Trojaner, u.a. fiel das erste Mal der Name "Virtumonde" von dem ich inzwischen weiß, dass er sich nicht so einfach entfernen lässt. Zone Alarm meldete mir auch ständige versuchte Zugriffe auf das Internet von einer Datei, die sich nicht manuell löschen ließ. Auch VundoFix, welches einem meiner Vorgänger empfohlen wurde, scheiterte, da der PC abstürzte, als VundFix versuchte besagte verdächtige Datei, die Zone Alarm bemerkt hatte, zu löschen.
Somit war es mir leider nicht möglich weitere Lösungsschritte, die ich hier oder durch google gefunden hatte, durch zu führen, weil der erste Schritt immer aus VundoFix bestand und dieses ja abstürzte, auch bei einem zweiten Versuch.

Nun bin ich mit meinem Latein am Ende, aber ich benötige den PC schnellstmöglich wieder für die Arbeit und weiß einfach nicht mehr weiter.
Zu seinen Daten, er ist 2 1/2 Jahre alt, Windows XP Professional und ich hatte noch nie Probleme mit ihm.
Da ich gelesen hatte, dass ein HijackThis Logfile helfen kann, das Problem zu erkennen, poste ich eins, in der Hoffnung, das jemand so lieb ist und mir weiter helfen kann.

Logfile of HijackThis v1.99.1
Scan saved at 12:29:41, on 16.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\twatdog.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\BtUsrBdg.exe
C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
C:\WINDOWS\system32\BTSetBootKey.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ621_44_00\ICQ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Nokia\Update_Manager\bin\UMScheduler.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Nokia\Update_Manager\bin\UMClient.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Downloads\hijackthis\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400005&utm_content=leftnav&utm_source=wdz&utm_medium=bund&utm_campaign=wdz0605
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3C7C4F38-A52B-453C-A767-D978B4526876} - C:\WINDOWS\system32\awtsr.dll (file missing)
O2 - BHO: {04117170-7552-0469-14f4-9560ec181535} - {535181ce-0659-4f41-9640-255707171140} - C:\WINDOWS\system32\sncxonrv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {87065C91-8935-4B1F-98CF-4C3135A35502} - (no file)
O2 - BHO: (no name) - {c6eeb11f-a0b6-4deb-8c98-82ca52a80d5a} - (no file)
O2 - BHO: (no name) - {EF801D50-380C-4FB7-92A8-E6AAF1DE4975} - C:\WINDOWS\system32\awvtt.dll (file missing)
O4 - HKLM\..\Run: [RegServer] regserve.exe
O4 - HKLM\..\Run: [XGIWatchDog] twatdog.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe
O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [7cd4499b] rundll32.exe "C:\WINDOWS\system32\lcbbkmyp.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ621_44_00\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: UMScheduler 2.0.lnk = C:\Nokia\Update_Manager\bin\UMScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ621_44_00\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ621_44_00\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: gebbaaa - gebbaaa.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\hacsoxhh.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich hoffe, ihr könnt damit mehr anfangen als ich
und schon einmal Danke für eure Mühe im Voraus.

Alt 16.01.2008, 13:36   #2
11Boy11
 
Probleme mit Trojanern (Virtumonde?) - Standard

Probleme mit Trojanern (Virtumonde?)



Hallo!

Bitte werte folgende Dateien bei VirusTotal aus, und poste das Ergebnis!

Zitat:
C:\WINDOWS\system32\BtUsrBdg.exe

C:\WINDOWS\system32\sncxonrv.dll

C:\WINDOWS\system32\lcbbkmyp.dll
Danach startest du bitte Hijackthis, klickst auf scan, und setzt vor Folgende Einträge ein Häckchen. Anschließend klickst Du auf "Fix checked"

Zitat:
O2 - BHO: (no name) - {3C7C4F38-A52B-453C-A767-D978B4526876} - C:\WINDOWS\system32\awtsr.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {87065C91-8935-4B1F-98CF-4C3135A35502} - (no file)

O2 - BHO: (no name) - {c6eeb11f-a0b6-4deb-8c98-82ca52a80d5a} - (no file)

O2 - BHO: (no name) - {EF801D50-380C-4FB7-92A8-E6AAF1DE4975} - C:\WINDOWS\system32\awvtt.dll (file missing)
Da ich denke, dass noch mehr "böse Sachen" dahinterstecken führst du bitte folgende Programme aus, und postest anschließend die Berichte.:

- eScan

- combofix

-> combofix.exe starten und bestätige die Abfrage mit 1 und drücke Enter

Achtung:

Combofix nimmt ein wenig Zeit in anspruch!
Bitte nichts während des Scans am Pc machen

Es kann auch sein, dass dein Computer zwischendurch mal herunterfährt!
__________________

__________________

Alt 16.01.2008, 14:31   #3
sarasilva
 
Probleme mit Trojanern (Virtumonde?) - Standard

Probleme mit Trojanern (Virtumonde?)



Danke schön erst einmal für die schnelle Bearbeitung und Hilfe!

Und hier sind die ersten Ergebnisse von VirusTotal,

Nummer 1 ergab:
Datei BtUsrBdg.exe empfangen 2008.01.16 13:59:17 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)
und in der Einzelauflistung wurde ebenfalls nichts gefunden. (Hab's aus Platzgründen jetzt nicht mit kopiert, aber gespeichert, falls es doch wichtig ist, editiere ich es natürlich dazu.)

Nummer 2 sieht nicht so gut aus:
Datei sncxonrv.dll empfangen 2008.01.16 14:04:05 (CET)
Status: Beendet
Ergebnis: 10/32 (31.25%)

AhnLab-V3 2008.1.16.11 2008.01.16 -
AntiVir 7.6.0.48 2008.01.16 TR/Vundo.Gen
Authentium 4.93.8 2008.01.16 -
Avast 4.7.1098.0 2008.01.16 -
AVG 7.5.0.516 2008.01.16 Lop
BitDefender 7.2 2008.01.16 Trojan.Vundo.DVC
CAT-QuickHeal 9.00 2008.01.16 -
ClamAV 0.91.2 2008.01.15 -
DrWeb 4.44.0.09170 2008.01.16 -
eSafe 7.0.15.0 2008.01.15 -
eTrust-Vet 31.3.5462 2008.01.16 -
Ewido 4.0 2008.01.16 -
FileAdvisor 1 2008.01.16 -
Fortinet 3.14.0.0 2008.01.16 -
F-Prot 4.4.2.54 2008.01.15 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13030.0 2008.01.16 -
Ikarus T3.1.1.20 2008.01.16 -
Kaspersky 7.0.0.125 2008.01.16 -
McAfee 5208 2008.01.15 -
Microsoft 1.3109 2008.01.16 Trojan:Win32/Vundo.gen!A
NOD32v2 2796 2008.01.16 -
Norman 5.80.02 2008.01.16 -
Panda 9.0.0.4 2008.01.15 Suspicious file
Prevx1 V2 2008.01.16 -
Rising 20.27.22.00 2008.01.16 -
Sophos 4.24.0 2008.01.16 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2008.01.15 -
Symantec 10 2008.01.16 Trojan.Vundo
TheHacker 6.2.9.188 2008.01.16 -
VBA32 3.12.2.5 2008.01.15 -
VirusBuster 4.3.26:9 2008.01.15 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2008.01.16 Trojan.Vundo.Gen

und Nummer 3:
Datei lcbbkmyp.dll empfangen 2008.01.16 14:17:07 (CET)
Status: Beendet
Ergebnis: 23/32 (71.88%)

AhnLab-V3 2008.1.16.11 2008.01.16 Win-Trojan/Vundo.90176
AntiVir 7.6.0.48 2008.01.16 TR/Vundo.DUP
Authentium 4.93.8 2008.01.16 W32/Trojan2.SUJ
Avast 4.7.1098.0 2008.01.16 -
AVG 7.5.0.516 2008.01.16 Lop
BitDefender 7.2 2008.01.16 Trojan.Vundo.DUP
CAT-QuickHeal 9.00 2008.01.16 AdWare.Virtumonde.din (Not a Virus)
ClamAV 0.91.2 2008.01.16 -
DrWeb 4.44.0.09170 2008.01.16 Trojan.Virtumod.232
eSafe 7.0.15.0 2008.01.15 Suspicious File
eTrust-Vet 31.3.5462 2008.01.16 Win32/Vundo.JH
Ewido 4.0 2008.01.16 -
FileAdvisor 1 2008.01.16 -
Fortinet 3.14.0.0 2008.01.16 -
F-Prot 4.4.2.54 2008.01.15 W32/Trojan2.SUJ
F-Secure 6.70.13030.0 2008.01.16 -
Ikarus T3.1.1.20 2008.01.16 Trojan.Vundo.DUP
Kaspersky 7.0.0.125 2008.01.16 not-a-virus:AdWare.Win32.Virtumonde.din
McAfee 5208 2008.01.15 -
Microsoft 1.3109 2008.01.16 Trojan:Win32/Vundo.gen!A
NOD32v2 2796 2008.01.16 Win32/Adware.Virtumonde
Norman 5.80.02 2008.01.16 W32/Virtumonde.JJO
Panda 9.0.0.4 2008.01.15 Spyware/Virtumonde
Prevx1 V2 2008.01.16 Trojan.Vundo
Rising 20.27.22.00 2008.01.16 -
Sophos 4.24.0 2008.01.16 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2008.01.15 -
Symantec 10 2008.01.16 Trojan.Adclicker
TheHacker 6.2.9.188 2008.01.16 Trojan/Virtumunde.gen
VBA32 3.12.2.5 2008.01.15 AdWare.Win32.Virtumonde.din
VirusBuster 4.3.26:9 2008.01.15 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2008.01.16 Trojan.Vundo.DUP

Hijackthis habe ich auch gerade ausgeführt und mache mich jetzt an die übrigen beiden Scans.
__________________

Alt 16.01.2008, 19:26   #4
sarasilva
 
Probleme mit Trojanern (Virtumonde?) - Standard

Probleme mit Trojanern (Virtumonde?)



Entschuldige für das Doppelposting, aber ich Foren-Laie habe nichts gefunden, wo ich den letzten Beitrag editieren konnte.

Jedenfalls hab ich die Ergebnisse von den Scans, wobei der von e-scan unauffindbar scheint, vielleicht liegt das an dem anderen Modus?!

Combofix hat aber das hier berichtet:

ComboFix 08-01-16.4 - OEM 2008-01-16 19:03:39.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.516 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Downloads\Progs\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\Programme\myglobalsearch
C:\WINDOWS\cookies.ini
C:\WINDOWS\msettings.ini
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\attsupxt.ini
C:\WINDOWS\system32\bexpuvpp.ini
C:\WINDOWS\system32\blcwawoc.ini
C:\WINDOWS\system32\centtwjo.ini
C:\WINDOWS\system32\cxmqindh.ini
C:\WINDOWS\system32\djclnrsm.dll
C:\WINDOWS\system32\gmgjqjpc.ini
C:\WINDOWS\system32\hhlxogex.ini
C:\WINDOWS\system32\iduikwnf.ini
C:\WINDOWS\system32\jgabebgx.ini
C:\WINDOWS\system32\jihhxfva.ini
C:\WINDOWS\system32\jipbuaqf.ini
C:\WINDOWS\system32\jqnpmmme.ini
C:\WINDOWS\system32\licmnbta.ini
C:\WINDOWS\system32\lshxvddx.ini
C:\WINDOWS\system32\luccwjfq.ini
C:\WINDOWS\system32\lwsxsorh.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\ndmobfea.ini
C:\WINDOWS\system32\ndtaefvm.ini
C:\WINDOWS\system32\nkvojdck.ini
C:\WINDOWS\system32\pvxjatwi.ini
C:\WINDOWS\system32\qsffdbht.ini
C:\WINDOWS\system32\sncxonrv.dll
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\tsayboak.ini
C:\WINDOWS\system32\ttvwa.bak1
C:\WINDOWS\system32\ttvwa.bak2
C:\WINDOWS\system32\ttvwa.ini
C:\WINDOWS\system32\uffjvvmo.ini
C:\WINDOWS\system32\ulgakcwi.ini
C:\WINDOWS\system32\uplkdfdk.ini
C:\WINDOWS\system32\uqcubivw.ini
C:\WINDOWS\system32\vslnwiwo.ini
C:\WINDOWS\system32\whardruy.ini
C:\WINDOWS\system32\wxvwlxjs.ini
C:\WINDOWS\system32\ypalgcfw.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((( Dateien erstellt von 2007-12-16 bis 2008-01-16 ))))))))))))))))))))))))))))))
.

2008-01-16 19:02 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-16 17:30 . 2008-01-16 17:30 0 --a------ C:\23990098.$$$
2008-01-16 17:19 . 2008-01-16 18:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-16 17:18 . 2008-01-16 17:18 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback
2008-01-16 14:47 . 2008-01-16 14:47 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-16 14:47 . 2008-01-16 14:47 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-16 14:47 . 2008-01-16 14:47 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-16 14:47 . 2008-01-16 14:47 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-16 14:47 . 2008-01-16 14:47 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-16 14:47 . 2008-01-16 14:47 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-16 14:44 . 2004-08-03 23:58 274,432 --a------ C:\WINDOWS\R.COM
2008-01-16 14:44 . 2004-08-03 23:58 244,224 --a------ C:\WINDOWS\system32\T.COM
2008-01-16 14:44 . 2008-01-16 14:44 26 --a------ C:\WINDOWS\Lic.xxx
2008-01-16 14:41 . 2004-07-14 23:18 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-16 14:41 . 2004-07-15 00:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-01-16 14:41 . 2004-07-15 00:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-16 14:41 . 2004-07-15 00:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-16 14:41 . 2004-07-15 00:13 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-16 14:41 . 2004-07-15 00:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-16 14:41 . 2008-01-16 17:19 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-16 11:55 . 2008-01-16 12:23 <DIR> d-------- C:\VundoFix Backups
2008-01-15 14:06 . 2008-01-15 14:06 <DIR> d-------- C:\Programme\Western Digital Technologies
2008-01-15 13:40 . 2008-01-15 13:40 <DIR> d-------- C:\Programme\NT Registry Optimizer
2008-01-15 12:26 . 2008-01-15 12:26 8,294,454 --a------ C:\WINDOWS\startup.bmp
2008-01-15 12:26 . 2004-08-07 14:09 218,624 --a------ C:\WINDOWS\system32\uxtheme.backup
2008-01-15 12:26 . 2008-01-15 12:26 218,624 --a--c--- C:\WINDOWS\system32\dllcache\uxtheme.dll
2008-01-15 12:18 . 2008-01-15 12:26 <DIR> d-------- C:\WINDOWS\VistaMizer
2008-01-15 00:31 . 2008-01-16 19:11 1,431,584 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-15 00:31 . 2008-01-16 19:09 18,848 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-15 00:28 . 2008-01-15 00:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-01-15 00:28 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-01-15 00:28 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2008-01-15 00:28 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2008-01-15 00:28 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-01-15 00:28 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-01-15 00:28 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-01-15 00:28 . 2008-01-15 00:30 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-01-15 00:26 . 2008-01-16 19:05 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-01-15 00:21 . 2008-01-15 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-14 20:18 . 2007-12-23 19:33 245,760 --a------ C:\WINDOWS\system32\JkDefragScreenSaver.exe
2008-01-14 20:18 . 2007-12-23 19:33 110,592 --a------ C:\WINDOWS\system32\JkDefragScreenSaver.scr
2008-01-14 19:43 . 2008-01-15 12:12 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-01-12 16:17 . 2008-01-13 16:28 414 ---hs---- C:\WINDOWS\system32\odcajavd.ini
2008-01-06 16:05 . 2008-01-06 16:05 75,840 --a------ C:\WINDOWS\system32\yvbwacgj.dll
2007-12-19 15:53 . 2007-12-19 15:53 272 --a------ C:\WINDOWS\system32\oeminfo.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-16 11:24 --------- d-----w C:\Programme\AVPersonal
2008-01-16 11:22 61,952 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-01-15 11:45 2,080,256 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-01-15 11:45 122,368 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-01-15 11:26 218,624 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-01-14 18:15 --------- d-----w C:\Programme\Google
2008-01-14 18:13 28,256 ----a-w C:\WINDOWS\system32\drivers\MxlW2k.sys
2008-01-13 22:05 --------- d-----w C:\Programme\ICQ621_44_00
2007-12-13 18:27 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-10-15 20:39 225,824 ------w C:\Dokumente und Einstellungen\OEM\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-08-12 23:36 840 -c--a-w C:\Programme\eq2000.dat
2005-08-12 23:36 1,537 -c--a-w C:\Programme\debug.log
2004-06-18 10:05 45,056 ----a-w C:\WINDOWS\inf\Slntinst.exe
2003-08-22 10:09 45,056 ----a-w C:\WINDOWS\inf\slntinst_staticW2k.exe
2001-11-23 04:08 712,704 -c--a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{535181ce-0659-4f41-9640-255707171140}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 25088]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.exe" [2006-11-30 21:49 4662776]
"ICQ"="C:\Programme\ICQ621_44_00\ICQ.exe" [2007-10-22 16:45 177400]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegServer"="regserve.exe" [2004-11-25 03:51 28672 C:\WINDOWS\system32\RegServe.exe]
"XGIWatchDog"="twatdog.exe" [2004-11-25 03:51 77824 C:\WINDOWS\system32\TWatDog.exe]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 11:15 114688]
"Cmaudio"="cmicnfg.cpl" []
"Disk Monitor"="C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe" [2003-06-18 10:57 475136]
"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 12:50 163840]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-09-09 19:05 204800]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe" [2003-01-14 15:55 204800]
"AVGCtrl"="C:\Programme\AVPersonal\AVGNT.exe" [2005-06-07 10:34 168039]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 02:52 45167]
"ezShieldProtector for Px"="C:\WINDOWS\system32\ezSP_Px.exe" [2002-08-20 09:29 49152]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 18:42 40960]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:58 110592 C:\WINDOWS\system32\bthprops.cpl]
"BTUSRBDG"="BtUsrBdg.exe" [2003-11-05 22:21 53248 C:\WINDOWS\system32\BtUsrBdg.exe]
"BTSETBOOTKEY"="BTSetBootKey.exe" [2003-04-15 10:48 36864 C:\WINDOWS\system32\BTSetBootKey.exe]
"MMTray"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2003-10-01 10:56 122880]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51 1836328]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]
"7cd4499b"="C:\WINDOWS\system32\lcbbkmyp.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2007-10-22 16:45 177400 C:\Programme\ICQ621_44_00\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
C:\Programme\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
C:\Programme\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
C:\Programme\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
--a------ 2003-10-01 10:56 122880 C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-08-04 00:11 1799168 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE2]
--a------ 2003-05-08 11:00 49152 C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe

R2 AVWUpSrv;AntiVir Update;"C:\Programme\AVPersonal\AVWUPSRV.EXE" [2005-06-07 10:34]
R3 avgntdw;avgntdw;C:\Programme\AVPersonal\AVGNTDW.SYS [2005-06-07 10:34]
R3 BTCOMM;BTCOMM;C:\WINDOWS\system32\drivers\Btcomm.sys [2004-09-28 16:18]
R3 BTKRNBDG;Bluetooth COM Bridge;C:\WINDOWS\system32\DRIVERS\btkrnbdg.sys [2003-03-18 11:31]
R3 vad_multi;Windigo Virtual Audio Device (WDM);C:\WINDOWS\system32\drivers\vadmulti.sys [2005-06-30 12:57]
R3 Xgiv3;Xgiv3;C:\WINDOWS\system32\DRIVERS\Xgiv3m.sys [2004-11-25 03:51]
S3 CSRBC01;%CSRBC01.SvcDesc%;C:\WINDOWS\system32\Drivers\csrbc01.sys [2005-06-28 19:46]
S3 USBNET_XP;Instant Wireless XP USB Network Adapter ver.2.6 Driver;C:\WINDOWS\system32\DRIVERS\netusbxp.sys [2002-02-19 19:34]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-16 19:11:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-16 19:15:49 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-16 18:15:43

ich hoffe, das es weiter hilft und noch einmal vielen Dank für die Hilfe!

Alt 19.01.2008, 23:01   #5
11Boy11
 
Probleme mit Trojanern (Virtumonde?) - Standard

Probleme mit Trojanern (Virtumonde?)



Hi!

Tut mir leid, dass ich mit meiner Antwort so spät komme .. !

Lade Dir den Avenger herunter.

- "Input script manually" anhacken
- Auf die Lupe klicken
- kopiere anschließend in "View/edit script" :

Zitat:
Files to delete:
C:\WINDOWS\system32\lcbbkmyp.dll
- Done klicken
- die gruene Ampel anklicken

...das Script wird nun ausgeführt. dann wird der PC automatisch neustarten

Lasse anschließend CureIt! über Dein System laufen. Die Anleitung dazu findest du [hier

__________________
Gruß 11Boy

Geändert von 11Boy11 (19.01.2008 um 23:07 Uhr)

Antwort

Themen zu Probleme mit Trojanern (Virtumonde?)
1.exe, abstürzen, ad aware, adobe, antivir, bho, cyberlink, drivers, einstellungen, entfernen, erste mal, excel, explorer, google, gservice, hijack, hijackthis, hijackthis logfile, internet, internet explorer, logfile, nicht möglich, object, pc abstürz, problem, rundll, scan, software, solution, t-online, trojaner, urlsearchhook, userinit.exe, virtumonde, werbefenster, windows, windows xp, zone alarm



Ähnliche Themen: Probleme mit Trojanern (Virtumonde?)


  1. Multiple Probleme mit Viren und Trojanern
    Plagegeister aller Art und deren Bekämpfung - 25.07.2014 (11)
  2. Probleme mit div. Trojanern, z.B. Sirefref.AG.35
    Log-Analyse und Auswertung - 28.06.2012 (11)
  3. Probleme mit mehreren Trojanern
    Plagegeister aller Art und deren Bekämpfung - 08.10.2010 (22)
  4. Probleme mit Trojanern
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (8)
  5. Probleme mit Viren, Trojanern etc.
    Log-Analyse und Auswertung - 21.05.2009 (3)
  6. Probleme mit Trojanern
    Plagegeister aller Art und deren Bekämpfung - 24.11.2008 (0)
  7. Probleme mit einigen Trojanern und Spyware (?)
    Plagegeister aller Art und deren Bekämpfung - 20.08.2008 (2)
  8. Probleme mit Trojanern etc.
    Plagegeister aller Art und deren Bekämpfung - 25.07.2008 (1)
  9. Probleme mit Trojanern
    Log-Analyse und Auswertung - 01.07.2008 (11)
  10. grosse Probleme mit Trojanern usw.
    Log-Analyse und Auswertung - 13.06.2007 (2)
  11. Probleme mit Trojanern oder ???
    Mülltonne - 23.05.2006 (2)
  12. Probleme mit Hijackern/Trojanern
    Log-Analyse und Auswertung - 03.05.2006 (2)
  13. Probleme mit BackDoor-Trojanern
    Plagegeister aller Art und deren Bekämpfung - 23.12.2005 (3)
  14. Probleme mit Trojanern
    Log-Analyse und Auswertung - 10.08.2005 (2)
  15. Probleme mit Viren und Trojanern
    Plagegeister aller Art und deren Bekämpfung - 20.02.2005 (8)
  16. Probleme mit Trojanern und IE
    Plagegeister aller Art und deren Bekämpfung - 29.11.2004 (3)
  17. Probleme mit 2 Trojanern und den Favoriten
    Plagegeister aller Art und deren Bekämpfung - 20.02.2004 (1)

Zum Thema Probleme mit Trojanern (Virtumonde?) - Hallo zusammen. Ich fürchte, mein Problem ist nicht neu, aber die Ratschläge meiner Vorgänger haben mir nicht weiter geholfen und nun hoffe ich, dass man mir vielleicht so helfen kann. - Probleme mit Trojanern (Virtumonde?)...
Archiv
Du betrachtest: Probleme mit Trojanern (Virtumonde?) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.