Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Evt. Virtomond.dll

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.06.2008, 09:05   #1
Hurrican
Gast
 
Evt. Virtomond.dll - Standard

Evt. Virtomond.dll



Guten Tag,
Ich bin in sachen trojaner viru... sehr vorsichtig. Leider hats mich nunn wahscheinlic erwischt.
Als ich den Monatlichen Scann, von Spybot, 1 2 3 Spyware Free, Add ware 2007 (test version) Avast Antivirus, Stinger Portable viren scanner, CCleaner (alle pw gelöscht), Spyware Terminator durchlaufen lies, zeigen alle wie üblich nichts an.
Nur bei Spybot wurde ich stuzig, da er 7 minuten bei der Datei Virtumod.dll festhing, das komische aber nach dem Scann zeigte er nichs an. Nur das mein Systehm sauber sei.

Ich hab sehr viele Accs wie bei Amazon usw (da weiß ich aber nicht mal mehr das pw, war lange nicht mehr dort), viele online spilee und bin auf sicher mehr als 20 Websides die ic regelmäßig besuche angemeldet.

Ich möchte auf jedenfall das neu Formartieren verhinder da ic vor 2 Wochen erst neu Formatierte und nicht schon wieder meine Programme neu Instalieren will.

Ich habe nac Virtumond.dll gesucht, und gefunden das es pw ausspioniert. Deswegen gleich mit Firefox und CCleaner alle PW gelöscht.

Ich habe die Virenscanns gemacht weil gestern wie ich ICQ war plötzlich stand, dein ICQ Acc wurde von einem anderen COmputer eingeloggt. DU wirst nun Ausgeloggt.

Ich habe wirlkich etwas schiss.

ENtschuldigt die Rechtschreibfehler ^^

Hier das HiJack... file, hab hijack vorhin mit geholt, ich hoffe ich habe alle meine Privaten links und angebe raus getan wenn n Mod noch was findet kann ers ja raus tun.

Ganz Frisch:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:55:42, on 07.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Wireless LAN Utility\SiWake.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Wireless LAN Utility\SiSCFG.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = htt*://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60076
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htt*://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = htt*://www.crawler.com/search/ie.aspx?tb_id=60076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = htt*://dnl.crawler.com/support/sa_customize.aspx?TbId=60076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt*://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = htt*://www.crawler.com/search/ie.aspx?tb_id=60076
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = htt*://dnl.crawler.com/support/sa_customize.aspx?TbId=60076
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\E_S169.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SiWake.lnk = C:\Programme\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\ctbr.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 1: (no name) - http://hcyfer.oyla11.de/

--
End of file - 6905 bytes

Alt 07.06.2008, 17:23   #2
Hurrican
Gast
 
Evt. Virtomond.dll - Standard

Evt. Virtomond.dll



Hab alle meine Passwörter ausgetauscht.

Sind meine angaben unvollständig oder habt ihr nur zu viel zu tun?
__________________


Alt 08.06.2008, 19:33   #3
Hurrican
Gast
 
Evt. Virtomond.dll - Standard

Evt. Virtomond.dll



2 Tage keine Antwort. Nix gegen euch aber hier is mir zu viel los, ein einzelner Beitrag kommt da zu kurz, der Virus hat meine pw weitergeben mittlerweile.
Icq ist stendig von einem anderen User Besetzt.

Ich suche mir wo andereshilfe, euer support is super aber bei so vielen Fragen kommt eine einzelne zu kurz tut mir leid nix gegen euc, braucht euch drum nichtmehr kümmern

MFG Hurrican
__________________

Alt 08.06.2008, 19:50   #4
EGJ
 
Evt. Virtomond.dll - Standard

Evt. Virtomond.dll



Hallo und

Hier ist ziemlich viel Betrieb, deswegen wird oftmal ein Beitrag übersehen.

Du hast auf jedenfall viel zu viele Sicherheitsprogramme drauf!!!

Deinstalliere welche!

Lade dir Malwarebytes runter und mache einen Scan, poste den Report hier.

Alt 08.06.2008, 19:53   #5
-SkY-
Gast
 
Evt. Virtomond.dll - Standard

Evt. Virtomond.dll



EGJ nicht antworten
Der Herr hat ja keine Lust mehr auf uns


Alt 09.06.2008, 15:33   #6
Hurrican
Gast
 
Evt. Virtomond.dll - Standard

Evt. Virtomond.dll



Danke das doch noch wer meinen Beitrag gelesen hatt.
Muss jetzt leider weg. Komme um Abends wieder und Poste das ergibniss.
Lasse es inzwischen laufen.
@Sky es ist nicht so das ich auf euch keine Lust mehr habe, ich weiß ihr habt viel zu tun nur ich habe Angst das noch mehr Pw von mir weitergeben werden.
Vielen Dank

Geändert von Hurrican (09.06.2008 um 15:42 Uhr)

Alt 09.06.2008, 18:06   #7
Hurrican
Gast
 
Evt. Virtomond.dll - Standard

Evt. Virtomond.dll



Hier der Bereicht.

Es wurde 1 Infziertes Objekt gefunden. Soll ich es löschen?

Malwarebytes' Anti-Malware 1.15
Datenbank Version: 830

18:01:48 09.06.2008
mbam-log-6-9-2008 (18-01-42).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 71650
Scan Dauer: 18 minute(s), 13 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-725345543-854245398-2146808213-1003\Dc2\browser.exe (Rogue.Installer) -> No action taken.

Alt 09.06.2008, 20:44   #8
EGJ
 
Evt. Virtomond.dll - Standard

Evt. Virtomond.dll



Ja lasse den Fund löschen.

Außerdem solltest du die "Crawler" Toolbar löschen.

Über HijackThis alle Einträge von Crawler löschen.

Alt 10.06.2008, 17:22   #9
Hurrican
Gast
 
Evt. Virtomond.dll - Standard

Evt. Virtomond.dll



Hoffe habe alles gefunde und runter gemacht.
Hier Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Geändert von Sunny (10.06.2008 um 18:37 Uhr)

Antwort

Themen zu Evt. Virtomond.dll
ad-aware, antivirus, avast, avast antivirus, avast!, avira, bho, computer, desktop, drivers, excel, explorer, firefox, hijackthis, hkus\s-1-5-18, internet, internet explorer, monitor, nvidia, outlook express, rundll, scan, sched.exe, schreibfehler, software, spyware, spyware terminator, system, temp, trojaner, unknown file in winsock lsp, urlsearchhook, viren, windows, windows xp, wireless lan



Zum Thema Evt. Virtomond.dll - Guten Tag, Ich bin in sachen trojaner viru... sehr vorsichtig. Leider hats mich nunn wahscheinlic erwischt. Als ich den Monatlichen Scann, von Spybot, 1 2 3 Spyware Free, Add ware - Evt. Virtomond.dll...
Archiv
Du betrachtest: Evt. Virtomond.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.