Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virtumonde => Ich brauche hilfe.... -.-

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 26.05.2008, 22:09   #1
Sonic-Safais
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



Hey Leute,ich habe seit kurzem Virtumonde auf meinem Rechner und ich habe bisher echt viel versucht um ihm loszuwerden,ohne erfolg...

Spyware Doctor kann ihn finden aber nicht entfernen da ich nur die Gratis version habe.
Alle andere programme, ob nun CCleaner, ein spezielles Anti-Vundo Tool von Symantech, VundoFix V7.0.5 , ComboFix und noch nen dutzend weitere haben nichts gefunden und konnten mir so nicht helfen....

Hier ist erst einmal mein HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:25, on 26.05.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\oodag.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
D:\Programme\Spyware Doctor\pctsAuxs.exe
D:\Programme\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe
C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe
D:\Programme\Spyware Doctor\pctsTray.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDCountdown.exe
C:\Programme\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDPOP3.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\NGists\NGists.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe
C:\Windows\ehome\ehsched.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\ehome\ehRecvr.exe
D:\Programme\Miranda SE 1.75\miranda32.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
D:\Programme\Spyware Doctor\pctsGui.exe
C:\Windows\system32\DllHost.exe
C:\Users\Julius Dombrowski\Desktop\HiJackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - D:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\JULIUS~1\AppData\Local\Temp\opnnmMDu.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll,c
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [f204db06] rundll32.exe "C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll",b
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O13 - Gopher Prefix:
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206720462840
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - D:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 8905 bytes



Bitte hilf mir jemand,ich weiss nicht mehr was ich tun soll....


Alt 27.05.2008, 00:13   #2
Sonic-Safais
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



Also es scheint als hätte ich die Viren entfernt.
Ich habe mir Spyware Doctor gekauft.... und es hat alles entfernt.

Nun findet es keinerlei bedrohungen mehr.
Die Online Überprüfung von Symantec läuft gerade,ich denke es wird auch nichts finden.

Das erschreckende daran ist leider,dass ich ungefähr alle 15 minuten ein Fenster sehe (Internet Explorer) welches will dass ich ein AntiVirus Program runterlade (es ist SPAM).
Irgendwie scheint doch noch etwas aktiv zu sein oder nicht?

Wie in aller Welt werd ich das wieder los?

Hat jemand einen Vorschlag?
__________________


Alt 27.05.2008, 00:59   #3
Sonic-Safais
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



Ich brauche echt hilfe,es wird einfach nicht besser...

Spyware Doctor findet ständig Adware.Downloader dinger und sowas halt.
Er entfernt es aber es kommt immer wieder.
Hinzukommt,wenn ich mit Firefox auf imageshack.us gehe um bilder hochzuladen (ich drücke auf Durchsuchen um die Datei zu wählen),dann kommt ein Schild auf dem irgendwie was davon steht,dass Windows diese Operation unterbunden hat und danach stürtzt Firefox komplett ab,muss es mit dem Task Manager schließen!






Woran liegt es?
Kann mir jemand sagen was ich entfernen muss damit das endlich aufhört!
__________________

Alt 27.05.2008, 01:09   #4
Sonic-Safais
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



Nun habe ich den PC mal neu gestartet und bekam prompt diese Meldung:


Des weiteren fand Spyware Doctor wieder weitere Adware dinger und einen
Adware.Agent

Alles wurde beseitigt,ich starte nochmal neu...wenn dann wieder viren da sind hat es keinen sinn und Spyware Doctor kann mir nicht helfen...


EDIT:
Ok,es ist hoffnungslos,nach jedem Neustart finde ich neue Infektionen von Adware.Advertising,Tracker Cookies und Adware.Agent

Es scheint ein Virus zu existieren den ich bisher nicht gefunde habe,und der ständig seine kleinen bastarde zeugt!


Womit kann ich ihn finden,Anti Vir?

EDIT*:
Infektion finde ich nur wieder (soweit ich das merke) nachdem ich einen Internet Browser starte (Adware.Advertising)

Ich lege mich jetzt hin zum pennen,morgen früh schau ich mal wieder rein,ich hoffe ihr könnt mir helfen,ihr müsstest doch viel erfahrung damit haben -.-

Schonmal ein ganz großes Danke an jeden der sich hiermit beschäftigt!

Geändert von Sonic-Safais (27.05.2008 um 01:26 Uhr)

Alt 27.05.2008, 07:48   #5
Mellosun
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



Guten Morgen,

C:\Users\JULIUS~1\AppData\Local\Temp\opnnmMDu.dll, #1
C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll


Bitte mal bei Virustotal oder Jotti auswerten lassen! Poste das gesamte Ergebnis,auch wenn nichts gefunden wird! Wichtig sind die dort angegebene Größe und Prüfsumme! Link in meiner SIG!

Wenn du nicht so voreilig gewesen wärst hättest du Dir, ich schätze mal 30 Euro(?) sparen können!

Poste nach der "Bereinigung" durch Spyware Doctor bitte ein frisches HijackThis Log!


Alt 27.05.2008, 08:19   #6
Sonic-Safais
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



Die beiden Datein die du mir da genannt hast (erstmal danke fürs antworten ),
existieren bei mir nicht,ich kann sie nicht finden,also auch nirgendswo hochladen...

Habe Spyware Doctor laufen lassen,er hat alles entfernt (was er finden konnte)

Hier das ganz frische HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:18:18, on 27.05.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\oodag.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
D:\Programme\Spyware Doctor\pctsAuxs.exe
D:\Programme\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe
C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe
D:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\HP\HP Software Update\hpwuSchd2.exe
C:\Programme\Razer\Copperhead\razerhid.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDCountdown.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDPOP3.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\NGists\NGists.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
C:\Windows\ehome\ehmsas.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehsched.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\ehome\ehRecvr.exe
D:\Programme\Miranda SE 1.75\miranda32.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Users\Julius Dombrowski\Desktop\HJT\HiJackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {55F673FF-BCBE-41FD-AA27-F7DEBBEE72CC} - C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - D:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\cbXRlKcd.dll,#1
O4 - HKLM\..\Run: [f204db06] rundll32.exe "C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll",b
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\JULIUS~1\AppData\Local\Temp\hgGyxVOG.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll,c
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [f204db06] rundll32.exe "C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll",b
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O13 - Gopher Prefix:
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1206720462840
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - D:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 9116 bytes

Alt 27.05.2008, 08:28   #7
Mellosun
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



Wie du in Deinem aktuellen Log sehen kannst (bei den 04 Einträgen) sind die Dateien doch vorhanden!

Hast du alles Dateien sichtbar gemacht?

Klicke Start>Computer>Organisieren>Ordner und Suchoptionen>Reiter Ansicht>Hacken bei Geschützte SystemDateien ausblenden raus>Punkt bei Alle Dateien und Ordner anzeigen rein!

Du kannst auch den Pfad direkt bei den entsprechenden Scanner reinkopieren und auf Send bzw. Upload klicken!


Weiterhin bitte auch diese Datei Online auswerten lassen:

C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll
C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll
C:\Windows\system32\cbXRlKcd.dll
C:\Users\JULIUS~1\AppData\Local\Temp\hgGyxVOG.dll

Alt 27.05.2008, 08:41   #8
Sonic-Safais
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



Okay,wir nähern uns dem Ende....

Du hast völlig recht,
O2 - BHO: (no name) - {55F673FF-BCBE-41FD-AA27-F7DEBBEE72CC} - C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll

Das ist er...

Ich habe zunächst einmal den Pfad eingegen um die Datei zu finden...
C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll


Ich konnte sie net finden,es sind auch gar keine .dll da in dem Temp Ordner drin.

Aber das hier: {55F673FF-BCBE-41FD-AA27-F7DEBBEE72CC}
Was immer das auch ist,ich habe einfach mal das vor den Pfad gesetzt (bei irgend einem Explorer Fenster) und prompt bekam ich unzählige Viruswarnung von Anti Vir (welche sofort entfernt wurden)
Ausserdem bekam ich viele Popups mit Malware und spam

Nun zu meiner Frage,was ist das: {55F673FF-BCBE-41FD-AA27-F7DEBBEE72CC}

Und wie werd ich ihn los?




EDIT:

OK ok,ich bin dran,hab die links einfach da reinkopiert,Auswertung findet gerade statt,poste in wenigen Minuten die Ergebnisse


Okay here we go:
C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll


weitere Informationen
File size: 371200 bytes
MD5...: f772d8f4a0867447898827f13358e5e0
SHA1..: 731732cdd72b48bd86a175dd0d7eea89ee8234ec
SHA256: 2c0246be87e6a416a9f25b62d517a29fdce85b669efd3565bf864e35526b3645
SHA512: 7a0eb3ee19df6b9edcacf559f70184725e9b63a81a61a0cd1d4c63dc1de9e63f
1eed21ea1e47c0f4f8cd786936ac497c2b997b140117644350b6d0c04fbb465b

C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll


C:\Windows\system32\cbXRlKcd.dll



C:\Users\JULIUS~1\AppData\Local\Temp\hgGyxVOG.dll


Geändert von Sonic-Safais (27.05.2008 um 08:55 Uhr)

Alt 27.05.2008, 09:18   #9
Mellosun
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



OK, das nächste mal aber die Scanns abwarten.....

Mache bitte folgendes:

Malwarebytes Anti-Malware! Wenn möglich, würde ich den Abgesicherten Modus vorziehen!
Lasse alles antfernen, was gefunden wird und Poste das Log von Malwarebytes!

Im Anschluss:


Lade dir bitte Combofix
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
- deaktiviere den Hintergrundwächter deines Antivirenprogramms
- halte während des scans alle Programme geschlossen
- benutze während des scans deinen Rechner nicht
- evtl. startet dein Rechner neu, poste im Anschluss bitte das Log von Combofix

Alt 27.05.2008, 10:13   #10
Sonic-Safais
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



DAnke Mellosun, du warst mir eine Echte Hilfe!!!

Es scheint als wäre der Virus komplett entfernt worden,hier die Logs wie es wolltest:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 789

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 104926
Scan Dauer: 11 minute(s), 11 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\Users\Julius Dombrowski\AppData\Local\Temp\ljJBtrpO.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{eb3cbf0f-d024-4c24-bd35-ddad5f234ca7} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{eb3cbf0f-d024-4c24-bd35-ddad5f234ca7} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{54018e98-10e3-46c6-9673-2999253f9c65} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{54018e98-10e3-46c6-9673-2999253f9c65} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\users\julius~1\appdata\local\temp\ljjbtrpo -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Users\Julius Dombrowski\AppData\Local\Temp\ljJBtrpO.dll (Trojan.Vundo) -> Delete on reboot.
C:\Users\Julius Dombrowski\AppData\Local\Temp\OprtBJjl.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Julius Dombrowski\AppData\Local\Temp\OprtBJjl.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Julius Dombrowski\AppData\Local\Temp\pmnnKEUm.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\System32\cbXRlKcd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.





==> Vielleicht wichtig zu erwähnen,nachdem ich den PC wieder im normalen Modus hochfuhr (ich hatte die beiden Programme,welche du mir empfohlen hattest,im Abesicherten Modus ausgeführt) hab ich Spyware Doctor suchen lassen,er fand noch 2 weitere kleine viren die entfernt wurden...

Mal hoffen das es jetzt endlich vorbei ist,jetz wo die Wurzel (hoffentlich) entfernt wurde.

Noch ein kosmetisches Problem bleibt:

Wie werd ich dir hier los?




Alt 27.05.2008, 10:16   #11
Sonic-Safais
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



Und hier im Anhang (weils zu lang ist) der ComboFix log

Hier nochmal ein HijackThis Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:18:12, on 27.05.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\oodag.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
D:\Programme\Spyware Doctor\pctsAuxs.exe
D:\Programme\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe
C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe
D:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\HP\HP Software Update\hpwuSchd2.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDCountdown.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDPOP3.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\NGists\NGists.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehsched.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\ehome\ehRecvr.exe
D:\Programme\Miranda SE 1.75\miranda32.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Users\Julius Dombrowski\Desktop\HJT\HiJackThis.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - D:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\cbXRlKcd.dll,#1
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [f204db06] rundll32.exe "C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll",b
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll,c
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O13 - Gopher Prefix:
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1206720462840
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - D:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 8401 bytes

Alt 27.05.2008, 10:32   #12
Mellosun
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



OK, die Fehlermeldungen kommen wegen noch vorhander Schlüssel in der Registry!

Da ich mich mit Combofix und das Script schreiben dafür nicht wirklich auskenne, würde ich vorschlagen, du löscht die Schlüssel per Hand!

Zuerst würde ich im Autostart nachsehen, on noch was vorhanden ist!

Start>Ausführen>msconfig eintippen>Enter>Reiter Autostart

Such nach Einträgen, die Dir unbekannt sind und die auf die entsprechende Dateien hindeuten!
Sollten noch welche vorhanden sein, nehme sie aus dem Autostart (Hacken entfernen)

Gehe dannach in die Registry von Vista!
Start>Ausführen>Regedit eingeben und Enter!

Mach ein Backup der Registry umd Probleme zu vermeiden!
(Datei>Exportieren)

Navigiere zu folgenden Schlüssel und Lösche sie!


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cmds]
C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\f204db06]
C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSServer]
C:\Windows\system32\cbXRlKcd.dll


Starte dannach den Rechner neu!
Lade Dir CCleaner (Google hilft)
Installiere es und pass bei der Install auf, das du die Toolbar nicht mit Installierst!
Lasse CCleaner laufen...eine Anleitung gibt es Hier

Dann sollten die Probs weg sein......
Berichte und bitte noch nen neues HijackThis Log nach den Schritten!

Alt 27.05.2008, 11:00   #13
Sonic-Safais
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



So mein bester,du bist ein Genie,hast du dir das alles selber beigebracht?

Ich habe tatsächlich die 3 Einträge im Startmenü bei MSConfig gefunden und sie prompt entfernt.
Keine lästigen Fenster mehr beim hochfahren
Die Werte in der Registry hab ich entfernt,somit werden sie nicht mehr bei MSConfig angezeigt

Auch Spyware Doctor (ich muss sagen,es war das einzige Programm was mir wirklich sagen was konnte was ich habe,auch wenn es nicht alles entfernen konnte,AntiVir war keine große Hilfe...) Zeigt mir grünes Licht.

Ich habe jetzt mal nicht CCleaner druff gemacht,ich sehe keine notwendigkeit mehr dafür,da alles so läuft wie es soll und keine infektionen mehr da sind (denk ich ^^ ).

Also hier nochmal das frischeste vom frischen HiJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:00:14, on 27.05.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\oodag.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
D:\Programme\Spyware Doctor\pctsAuxs.exe
D:\Programme\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe
C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe
D:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\HP\HP Software Update\hpwuSchd2.exe
C:\Programme\Razer\Copperhead\razerhid.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDCountdown.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDPOP3.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\NGists\NGists.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehsched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\ehome\ehRecvr.exe
D:\Programme\Mozilla Firefox\firefox.exe
\?\C:\Windows\system32\wbem\WMIADAP.EXE
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Julius Dombrowski\Desktop\HJT\HiJackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - D:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O13 - Gopher Prefix:
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1206720462840
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - D:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 8085 bytes



Ganz massives Danke an dich Mellosun,wenn wir uns mal sehen,geb ich dir nen Bier aus

Geändert von Sonic-Safais (27.05.2008 um 11:07 Uhr)

Alt 27.05.2008, 11:34   #14
Mellosun
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



Erstmal Danke für die Blumen....

Aber das hat nix mit Genie zutun....im Gegenteil! Einige User hier wären wahrscheinlich mit ein oder zwei Schritten weniger am Ziel gewesen! Bin noch nicht soweit, was man doch noch häufig merkt!

Ja, viel lesen, versuchen zu verstehen und die Schritte nachvollziehen ist das wichtigste dabei!


Wenn alles ok ist, freut es mich...aber Bier trinke ich leider net! Aber nehm gern ne Cola oder sowas!

Gruß Mello

Alt 27.05.2008, 11:51   #15
Sonic-Safais
 
Virtumonde => Ich brauche hilfe.... -.- - Standard

Virtumonde => Ich brauche hilfe.... -.-



Wie du trinkst kein Bier?
Generell kein Alkohol oder liegts nur am Bier? ^^

Egal,wir würden was finden :P

danke für die Hilfe nochmal.

Antwort

Themen zu Virtumonde => Ich brauche hilfe.... -.-
32-bit, ad-aware, adobe, antivir, antivirus, antivirus scan, avira, bho, combofix, defender, desktop, entfernen, explorer, firefox, hijack, hijackthis, hijackthis log, internet, internet explorer, launch, local\temp, mozilla, mozilla firefox, object, remote control, rundll, software, system, temp, virtumonde, vista, windows, windows defender, windows sidebar



Ähnliche Themen: Virtumonde => Ich brauche hilfe.... -.-


  1. Hilfe, Virtumonde hat mich
    Plagegeister aller Art und deren Bekämpfung - 25.06.2009 (8)
  2. Hilfe: Trojaner (Virtumonde)
    Log-Analyse und Auswertung - 15.01.2009 (9)
  3. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  4. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  5. Spybot meldet Smitfraud-C. Virtumonde & Virtumonde.generic Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2008 (1)
  6. Virtumonde - bitte um Hilfe
    Mülltonne - 14.11.2008 (0)
  7. Virtumonde, bitte um Hilfe :-(
    Log-Analyse und Auswertung - 20.10.2008 (4)
  8. Trojaner / Virtumonde? Hilfe!
    Mülltonne - 05.10.2008 (0)
  9. Hilfe bei Virtumonde.dll?
    Plagegeister aller Art und deren Bekämpfung - 21.09.2008 (1)
  10. Brauche EURE Hilfe - virtumonde.dll???
    Log-Analyse und Auswertung - 20.09.2008 (0)
  11. Virtumonde Katastrophe brauche Hilfe!!!
    Log-Analyse und Auswertung - 15.09.2008 (29)
  12. Virtumonde! Bitte um Hilfe.
    Log-Analyse und Auswertung - 20.08.2008 (12)
  13. Virtumonde --- brauche Hilfe
    Log-Analyse und Auswertung - 12.07.2008 (11)
  14. Virtumonde! Hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 04.04.2008 (30)
  15. Virtumonde [Brauche Hilfe]
    Plagegeister aller Art und deren Bekämpfung - 01.04.2008 (42)
  16. Vermutlich Zlob und/oder Virtumonde brauche Hilfe
    Plagegeister aller Art und deren Bekämpfung - 28.03.2008 (12)
  17. Virtumonde Hilfe benötigt
    Log-Analyse und Auswertung - 28.12.2007 (2)

Zum Thema Virtumonde => Ich brauche hilfe.... -.- - Hey Leute,ich habe seit kurzem Virtumonde auf meinem Rechner und ich habe bisher echt viel versucht um ihm loszuwerden,ohne erfolg... Spyware Doctor kann ihn finden aber nicht entfernen da ich - Virtumonde => Ich brauche hilfe.... -.-...
Archiv
Du betrachtest: Virtumonde => Ich brauche hilfe.... -.- auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.