Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Adware.Win32.Virtumonde.dnn

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 17.03.2008, 23:14   #1
helga123
 
Adware.Win32.Virtumonde.dnn - Standard

Adware.Win32.Virtumonde.dnn



Hilfe,

alle Versuche, die Maleware los zu werden, sind fehlgeschlagen.

ct Hilfsprogramme auf anderem Rechner heruntergeladen, keine Rootkits gefunden, und trotzdem immer wieder seltsame Fehlermeldungen und Meldungen wie die "Adware.Win32.Virtumonde.dnn" aus der dafür installierten Software a-squared.

vielen Dank im voraus

hier das logfile

Logfile of HijackThis v1.99.1
Scan saved at 22:33:30, on 17.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas .exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Anti-Malware\a2guard .exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas .exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\ctfmon .exe
D:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas .exe" /minimized
O4 - HKLM\..\Run: [f84595ab] rundll32.exe "C:\WINDOWS\system32\mfhcnhra.dll",b
O4 - HKLM\..\Run: [BMfb76a637] Rundll32.exe "C:\WINDOWS\system32\jcivyctj.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: Winsol_Autostart.lnk = C:\Programme\Technische Alternative\Winsol18\Winsol.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146325811468
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9B1F0ED-4AD6-4C39-A757-9C144A875258}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Alt 18.03.2008, 10:42   #2
Sabina
 
Adware.Win32.Virtumonde.dnn - Standard

Adware.Win32.Virtumonde.dnn



Hallo,

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat:
O4 - HKLM\..\Run: [f84595ab] rundll32.exe "C:\WINDOWS\system32\mfhcnhra.dll",b
O4 - HKLM\..\Run: [BMfb76a637] Rundll32.exe "C:\WINDOWS\system32\jcivyctj.dll",s
2.
wende bitte Combofix an + poste hier den Report
combofix
__________________

__________________

Alt 12.04.2008, 19:26   #3
helga123
 
Adware.Win32.Virtumonde.dnn - Standard

Adware.Win32.Virtumonde.dnn



Hallo Sabina,

vielen Dank für deine Hilfe - antworte so spät, weil ich nicht mehr in den Rechner gekommen bin. Habe mit Knoppix Boot DVD die Festplatte Laufwerk C: von mehreren Tausend Dateien befreit, ebenso die lokalen Einstellungen von den installierten Benutzern.
Konnte dann XP wieder starten, allerdings mit einem vollkommen leeren Desktop
Habe dann über Taskmanager Firefox gestartet und deine Anweisungen befolgt
- also HijackThis und combofix
combofix ist durchgelaufen und hat den Rechner neu gestartet, allerdings kein Log in einem Textfenster
trotzdem habe ich den Eindruck, das die maleware beseitigt wurde, weil die mitlaufenden Meldungen immer Erfolg gezeigt haben.

Kannst du mir auch noch helfen, mein XP wieder zum Laufen zu bringen?

vielen Dank im voraus!

Werde heute abend auf dem Rechner eines Bekannten wieder online gehen.
__________________

Alt 13.04.2008, 22:09   #4
Sabina
 
Adware.Win32.Virtumonde.dnn - Standard

Adware.Win32.Virtumonde.dnn



Hallo Helga,

keine Ahnung, was du alles mit Knoppix entfernt hast
Vielleicht wichtige Windowsdateien ?
oder hast du eine bootsbare Antiviren-CD verwendet ?

wende smitfraudfix an (option2) und berichte, ob hintergrund usw, wieder in Ordnung sind
SmitfraudFix
__________________
MfG Sabina

Alt 15.04.2008, 19:48   #5
helga123
 
Adware.Win32.Virtumonde.dnn - Standard

Adware.Win32.Virtumonde.dnn



Hallo Sabina,

habe smitfraudfix mit option2 angewandt, allerdings hat er dann vergeblich nach explorerer.exe gesucht.

Nach dem Reboot war der Desktop nur noch blau, auch das Hintergrundbild des Users Admin ist jetzt verschwunden.

Wie bekomme ich Windows dazu, mir die Systemdateien wieder herzustellen?

DANKE

Hier der Report:

SmitFraudFix v2.314

Scan done at 19:35:43.03, 2008-04-15
Run from C:\Dokumente und Einstellungen\Admin-Polsing\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 195.3.96.67
DNS Server Search Order: 195.3.96.68

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E9B1F0ED-4AD6-4C39-A757-9C144A875258}: NameServer=195.3.96.67,195.3.96.68
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E9B1F0ED-4AD6-4C39-A757-9C144A875258}: NameServer=195.3.96.67,195.3.96.68
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E9B1F0ED-4AD6-4C39-A757-9C144A875258}: NameServer=195.3.96.67,195.3.96.68
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9B1F0ED-4AD6-4C39-A757-9C144A875258}: NameServer=195.3.96.67,195.3.96.68


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Alt 16.04.2008, 00:10   #6
Sabina
 
Adware.Win32.Virtumonde.dnn - Standard

Adware.Win32.Virtumonde.dnn



Zitat:
der Desktop nur noch blau
das ist das MS-Blau, also kein Fehler, smitfraudfix nimmt allen Desktop-Hintergrund erst mal raus. du kannst jeder zeit einen neuen einstellen.
__________________
--> Adware.Win32.Virtumonde.dnn

Antwort

Themen zu Adware.Win32.Virtumonde.dnn
adobe, alternative, avg, dateien, dll, explorer, ftp, google, hijack, hijackthis, home, immer wieder, install.exe, internet, internet explorer, maleware, messenger, microsoft, nvidia, rundll, software, symantec, system, system32, windows, windows xp



Ähnliche Themen: Adware.Win32.Virtumonde.dnn


  1. win32/privacy remover.m64 und win32/adware.virtumonde
    Mülltonne - 15.10.2008 (1)
  2. Warning! Win32/adware.virtumonde
    Plagegeister aller Art und deren Bekämpfung - 11.10.2008 (1)
  3. Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected
    Log-Analyse und Auswertung - 05.10.2008 (13)
  4. win32/adware.virtumonde und win32/prvacy remover64
    Plagegeister aller Art und deren Bekämpfung - 29.09.2008 (13)
  5. Win32/Adware.Virtumonde/PrivacyRemover.M64
    Log-Analyse und Auswertung - 21.09.2008 (13)
  6. Win32/Adware.Virtumonde und Win32/PrivacyRemover.M64
    Log-Analyse und Auswertung - 20.09.2008 (8)
  7. Win32/Adware/Virtumonde + Win32/Privacy/Remover.M64
    Log-Analyse und Auswertung - 12.09.2008 (12)
  8. Fehlermeldung am Desktop: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64
    Log-Analyse und Auswertung - 09.09.2008 (14)
  9. Wallpaper: Win32/Adware.Virtumonde, Win32/PrivacyRemover.M64
    Log-Analyse und Auswertung - 08.09.2008 (1)
  10. Win32/adware.virtumonde und win32/privacyremover.64
    Mülltonne - 02.09.2008 (0)
  11. Win32/Adware.Virtumonde und Win32/PrivacyRemover.M64
    Plagegeister aller Art und deren Bekämpfung - 01.09.2008 (22)
  12. Win32/Adware.Virtumonde iifeEWpQ.dll
    Log-Analyse und Auswertung - 30.08.2008 (10)
  13. Win32/Adware.Virtumonde - Win32/PrivacyRemover.M64 - TR/Zlob.KA.2 - Hilfe benötigt!
    Log-Analyse und Auswertung - 29.08.2008 (9)
  14. Hilfe, mein Computer zeigtan: WIN32/Adware.Virtumonde&Win32/PrivacyRemover.M64
    Log-Analyse und Auswertung - 25.08.2008 (2)
  15. Win32/Adware.Virtumonde - Win32/PrivacyRemover.M64 - Trojan.Zlob
    Mülltonne - 24.08.2008 (0)
  16. adware.win32.virtumonde
    Plagegeister aller Art und deren Bekämpfung - 28.01.2008 (33)
  17. adware win32 virtumonde
    Log-Analyse und Auswertung - 23.12.2007 (1)

Zum Thema Adware.Win32.Virtumonde.dnn - Hilfe, alle Versuche, die Maleware los zu werden, sind fehlgeschlagen. ct Hilfsprogramme auf anderem Rechner heruntergeladen, keine Rootkits gefunden, und trotzdem immer wieder seltsame Fehlermeldungen und Meldungen wie die "Adware.Win32.Virtumonde.dnn" - Adware.Win32.Virtumonde.dnn...
Archiv
Du betrachtest: Adware.Win32.Virtumonde.dnn auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.