Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Virtumonde! Bekomme es nicht weg

Virtumonde! Bekomme es nicht weg


Plagegeister aller Art und deren Bekämpfung: Virtumonde! Bekomme es nicht weg

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 07.06.2008, 10:00   #1
Boerdy
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


Moin,
auf Wunsch eröffne ich einen eigenen Thread.
Ich habe mir Virtumonde eingefangen und bekomme ihn nicht weg.
Ad-Aware, Spybot, Antivir und Smitfraufix konnten das Problem nicht beheben.
Hier die Hijack Logfile


Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]
Geändert von Sunny (07.06.2008 um 10:10 Uhr)

Alt 07.06.2008, 10:03   #2
BataAlexander
> MalwareDB
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


Boerdy wie schon gesagt, Du hast da mehr im System, so viel das ein Neuaufsetzen von Windows richtig wäre.
__________________

__________________
Alt 07.06.2008, 10:22   #3
Boerdy
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


Eine andere Möglichkeit als neu aufsetzen gibt es nicht?
__________________
Alt 07.06.2008, 10:23   #4
BataAlexander
> MalwareDB
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


Versuchen kann man es, eine Garantie das es funktioniert gibt es nicht.

ComboFix
  • Download ComboFix von hier oder hier auf Deinen Desktop.
  • Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
    (Auch Guards von Ad-, Spyware Programmen!)
  • Doppelklicke die combofix.exe.
  • Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:
  • Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
    Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
  • Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
  • Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
  • Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
  • Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 07.06.2008, 14:28   #5
Boerdy
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


Hi,
also habe combofix verwendet. Der Rechner hat dann neugestartet und als er die Logdatei erstellen wollte kam folgende Meldung bei combofix:

Das System konnte die angegebene Datei nicht finden.

Somit habe ich keine Logdatei bekommen. Das Programm hat sich dann beendet.

Mein Rechner meldete mir auch, dass einige dll Dateien nicht da wären.
Man soll auch keine anderen Programme starten aber einige starten automatisch mit autostart, soll ich diese abstellen und es noch einmal versuchen?

Gruß

Björn


Alt 07.06.2008, 15:05   #6
BataAlexander
> MalwareDB
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


Bitte Combofix noch einmal laufen lassen.
__________________
--> Virtumonde! Bekomme es nicht weg

Alt 07.06.2008, 15:57   #7
Boerdy
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


ComboFix 08-06-06.6 - Björn 2008-06-07 16:30:09.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.244 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Björn\Desktop\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Bj”rn\Desktop\Musik\pg.lost-yes i am-2007\Desktop_.ini
.
---- Previous Run -------
.
C:\WINDOWS\BMaf86e78c.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\start.exe
C:\WINDOWS\system32\AJQqBJlm.ini
C:\WINDOWS\SYSTEM32\AJQqBJlm.ini2
C:\WINDOWS\system32\bdKlkUtv.ini
C:\WINDOWS\SYSTEM32\bdKlkUtv.ini2
C:\WINDOWS\SYSTEM32\bLkUwGgh.ini
C:\WINDOWS\SYSTEM32\bLkUwGgh.ini2
C:\WINDOWS\system32\bseyhcwe.ini
C:\WINDOWS\system32\laywahtp.ini
C:\WINDOWS\system32\ldcksmmu.dll
C:\WINDOWS\system32\lofqgwkn.dll
C:\WINDOWS\system32\lxsgofxm.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mifwoohl.ini
C:\WINDOWS\SYSTEM32\mlTwyGgh.ini
C:\WINDOWS\SYSTEM32\mlTwyGgh.ini2
C:\WINDOWS\SYSTEM32\PsBbayxx.ini
C:\WINDOWS\SYSTEM32\PsBbayxx.ini2
C:\WINDOWS\system32\pvltbsok.dll
C:\WINDOWS\system32\vcqmnetc.ini
C:\WINDOWS\system32\xkhiyxta.dll
C:\WINDOWS\system32\yobkadaf.dll
C:\WINDOWS\Web\default.htt

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-07 bis 2008-06-07 ))))))))))))))))))))))))))))))
.

2008-06-07 15:15 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\SYSTEM32\wucltui.dll.mui
2008-06-07 15:15 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuaucpl.cpl.mui
2008-06-07 15:15 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuapi.dll.mui
2008-06-07 15:15 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\SYSTEM32\wuaueng.dll.mui
2008-06-07 15:13 . 2008-06-07 15:15 <DIR> d-------- C:\WINDOWS\LastGood
2008-06-05 18:11 . 2008-06-06 10:58 <DIR> d-------- C:\Programme\Spyware Doctor
2008-06-05 18:11 . 2008-06-05 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\PC Tools
2008-06-05 18:11 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\iksyssec.sys
2008-06-05 18:11 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\iksysflt.sys
2008-06-05 18:11 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ikfilesec.sys
2008-06-05 18:11 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\kcom.sys
2008-06-05 13:38 . 2008-06-07 16:29 <DIR> d-------- C:\Programme\TheWorld 2.0
2008-06-05 13:11 . 2008-06-05 13:11 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\MSN6
2008-06-05 13:11 . 2008-06-05 13:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2008-06-04 12:23 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\SYSTEM32\VCCLSID.exe
2008-06-04 12:23 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\SYSTEM32\SrchSTS.exe
2008-06-04 12:23 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\SYSTEM32\VACFix.exe
2008-06-04 12:23 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\SYSTEM32\IEDFix.exe
2008-06-04 12:23 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\SYSTEM32\404Fix.exe
2008-06-04 12:23 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\SYSTEM32\Process.exe
2008-06-04 12:23 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\SYSTEM32\dumphive.exe
2008-06-04 12:23 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\SYSTEM32\WS2Fix.exe
2008-06-04 12:23 . 2008-06-05 11:27 3,342 --a------ C:\WINDOWS\SYSTEM32\tmp.reg
2008-06-04 12:09 . 2008-06-04 12:09 <DIR> d-------- C:\Programme\Multi-Browser XP Trial
2008-06-04 11:44 . 2008-06-04 11:44 0 --------- C:\WINDOWS\SYSTEM32\HFXA1.tmp
2008-06-04 11:38 . 2008-06-04 11:42 <DIR> d--h-c--- C:\WINDOWS\ie8
2008-06-04 11:37 . 2008-06-04 11:44 <DIR> d-------- C:\b20df040bc52e72feb9261
2008-06-03 20:12 . 2008-06-03 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-06-03 20:10 . 2008-06-03 20:10 90,624 --------- C:\WINDOWS\SYSTEM32\ggg
2008-06-03 18:19 . 2008-06-03 18:19 <DIR> d-------- C:\Programme\Trend Micro
2008-06-03 17:42 . 2008-06-03 17:42 280,576 --a------ C:\WINDOWS\SYSTEM32\fucker.dgg
2008-06-03 17:07 . 2008-06-03 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-03 17:06 . 2008-06-03 17:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-02 22:04 . 2008-06-02 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DFX
2008-06-02 20:50 . 2008-06-02 20:50 <DIR> d-------- C:\Programme\DFX
2008-05-29 23:45 . 2008-05-29 23:45 <DIR> d-------- C:\Programme\Ultra Fractal 4
2008-05-29 23:45 . 2008-05-29 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Ultra Fractal 4
2008-05-29 23:24 . 2008-05-29 23:46 <DIR> d-------- C:\Programme\Apophysis 2.0
2008-05-29 23:06 . 2008-05-29 23:06 <DIR> d-------- C:\Programme\Gamers.IRC
2008-05-29 23:06 . 2008-05-29 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\mIRC
2008-05-19 20:44 . 2008-05-19 20:44 <DIR> d-------- C:\Programme\Network Stumbler
2008-05-18 20:50 . 2008-06-04 19:09 <DIR> d-------- C:\Programme\Zattoo
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\SYSTEM32\lsdelete.exe
2008-05-07 21:55 . 2008-05-07 21:55 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\MAGIX
2008-05-07 21:55 . 2008-05-07 21:56 28 --a------ C:\WINDOWS\Robota.INI
2008-05-07 21:53 . 2001-05-11 13:18 420,240 --a------ C:\WINDOWS\SYSTEM32\mpg4c32.dll
2008-05-07 21:53 . 2001-03-26 04:41 245,760 --a------ C:\WINDOWS\SYSTEM32\mp4sds32.ax
2008-05-07 21:49 . 2007-04-18 22:07 53,248 --a------ C:\WINDOWS\SYSTEM32\mgxasio2.dll
2008-05-07 21:45 . 2008-05-07 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-05-07 21:44 . 2008-05-07 22:00 <DIR> d-------- C:\Programme\MAGIX
2008-05-07 21:44 . 2007-04-27 09:43 120,200 --a------ C:\WINDOWS\SYSTEM32\DLLDEV32i.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-07 13:37 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-06-07 12:17 --------- d-----w C:\Programme\Trillian
2008-06-07 08:31 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-06 21:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-03 15:07 --------- d-----w C:\Programme\Lavasoft
2008-06-03 14:59 --------- d-----w C:\Programme\Last.fm
2008-06-02 20:15 --------- d-----w C:\Programme\Winamp
2008-06-02 19:32 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\uTorrent
2008-05-27 08:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-27 08:48 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\AdobeUM
2008-05-21 09:40 --------- d-----w C:\Programme\OpenOffice.org 2.0
2008-05-20 22:35 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Skype
2008-05-20 21:31 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\skypePM
2008-05-18 10:03 --------- d-----w C:\Programme\DivX
2008-05-15 09:47 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\OpenOffice.org2
2008-05-02 23:27 --------- d-----w C:\Programme\Coolstreaming_Tool-Bar_v1.0
2008-05-02 23:27 --------- d-----w C:\Programme\a-squared Free
2008-05-02 13:08 --------- d-----w C:\Programme\Windows Media Connect 2
2008-05-02 13:05 --------- d-----w C:\Programme\Nero
2008-05-02 13:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-05-02 13:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-02 13:03 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\COWON
2008-05-02 13:02 --------- d-----w C:\Programme\Google
2008-05-02 12:55 --------- d-----w C:\Programme\Hamachi
2008-04-29 22:31 --------- d-----w C:\Programme\AskPBar
2008-04-29 22:26 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Trillian
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-28 19:56 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Hamachi
2008-04-26 11:40 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\TVU Networks
2008-04-26 11:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2008-04-26 11:39 --------- d-----w C:\Programme\TVUPlayer
2008-04-24 22:08 --------- d-----w C:\Programme\Picasa2
2008-04-18 12:48 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Ashampoo
2008-04-18 12:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-04-18 12:44 --------- d-----w C:\Programme\Ashampoo
2008-04-16 09:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-12 19:27 --------- d-----w C:\Programme\ANSTOSS 3
2008-04-10 20:43 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-04-10 20:43 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Hamachi-Backup
2008-03-31 09:16 86,016 ----a-w C:\WINDOWS\SYSTEM32\OpenAL32.dll
2008-03-31 09:16 262,144 ----a-w C:\WINDOWS\SYSTEM32\wrap_oal.dll
2008-03-20 22:08 1,159,168 ------w C:\WINDOWS\SYSTEM32\SET8E.tmp
2008-03-20 22:07 39,258 ------w C:\WINDOWS\inf\IEM\0407\SET64.tmp
2008-03-20 22:07 2,661,220 ----a-w C:\WINDOWS\inf\SET62.tmp
2008-03-20 22:07 14,460 ------w C:\WINDOWS\inf\IEM\0407\SET63.tmp
2008-03-20 22:07 12,800 ------w C:\WINDOWS\SYSTEM32\SET7E.tmp
2008-03-04 21:55 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-03-15 13:19 280,576 ----a-w C:\WINDOWS\inf\WG311v3\WG311v3XP.sys
2006-03-15 13:19 280,576 ----a-w C:\WINDOWS\inf\WG311v3\WG311v3.sys
2006-03-15 13:19 212,992 ----a-w C:\WINDOWS\inf\WG311v3\CopyWHQLDriver.exe
2004-07-11 11:57 13,195 ----a-w C:\Dokumente und Einstellungen\Administrator\ZGUICFGW.DAT
2002-09-09 11:10 266 --sh--w C:\Programme\desktop.ini
2002-09-09 11:10 11,253 ---ha-w C:\Programme\folder.htt
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-08-20 15:55 56 --sha-r C:\WINDOWS\SYSTEM32\C0BC4D3316.sys
2004-08-20 15:59 848 --sha-w C:\WINDOWS\SYSTEM32\KGyGaAvL.sys
.

------- Sigcheck -------

2006-06-13 21:32 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2004-08-04 12:00 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-06-13 21:32 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\SYSTEM32\dllcache\tcpip.sys
2006-06-13 21:32 359808 cee1276a4a71e3f8545d97c1aad2a6b0 C:\WINDOWS\SYSTEM32\DRIVERS\tcpip.sys
.
((((((((((((((((((((((((((((( snapshot@2008-06-07_15.21.53.79 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-05-26 02:16:24 75,544 ----a-w C:\WINDOWS\LastGood\system32\cdm.dll
+ 2005-05-26 02:16:22 466,200 ----a-w C:\WINDOWS\LastGood\system32\wuapi.dll
+ 2005-05-26 02:16:22 124,696 ----a-w C:\WINDOWS\LastGood\system32\wuauclt.exe
+ 2005-05-26 02:16:30 1,343,768 ----a-w C:\WINDOWS\LastGood\system32\wuaueng.dll
+ 2005-05-26 02:16:22 128,280 ----a-w C:\WINDOWS\LastGood\system32\wucltui.dll
+ 2005-05-26 02:16:30 41,240 ----a-w C:\WINDOWS\LastGood\system32\wups.dll
+ 2005-05-26 02:16:30 18,200 ----a-w C:\WINDOWS\LastGood\system32\wups2.dll
+ 2005-05-26 02:19:32 173,536 ----a-w C:\WINDOWS\LastGood\system32\wuweb.dll
- 2005-05-26 02:16:24 75,544 ----a-w C:\WINDOWS\SYSTEM32\cdm.dll
+ 2007-07-30 17:19:20 92,504 ----a-w C:\WINDOWS\SYSTEM32\cdm.dll
- 2005-05-26 02:16:24 75,544 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\cdm.dll
+ 2007-07-30 17:19:20 92,504 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\cdm.dll
- 2005-05-26 02:16:22 466,200 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuapi.dll
+ 2007-07-30 17:19:36 549,720 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuapi.dll
- 2005-05-26 02:16:22 124,696 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuauclt.exe
+ 2007-07-30 17:19:16 53,080 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuauclt.exe
- 2005-05-26 02:16:30 1,343,768 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuaueng.dll
+ 2007-07-30 17:19:42 1,712,984 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuaueng.dll
- 2005-05-26 02:16:22 128,280 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wucltui.dll
+ 2007-07-30 17:19:32 325,976 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wucltui.dll
- 2005-05-26 02:19:32 173,536 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuweb.dll
+ 2007-07-30 17:19:28 203,096 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuweb.dll
+ 2007-07-30 17:18:40 33,624 ----a-w C:\WINDOWS\SYSTEM32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.0.6000.381\wups.dll
+ 2007-07-30 17:19:12 43,352 ----a-w C:\WINDOWS\SYSTEM32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.0.6000.381\wups2.dll
- 2005-05-26 02:16:22 466,200 ----a-w C:\WINDOWS\SYSTEM32\wuapi.dll
+ 2007-07-30 17:19:36 549,720 ----a-w C:\WINDOWS\SYSTEM32\wuapi.dll
- 2005-05-26 02:16:22 124,696 ----a-w C:\WINDOWS\SYSTEM32\wuauclt.exe
+ 2007-07-30 17:19:16 53,080 ----a-w C:\WINDOWS\SYSTEM32\wuauclt.exe
- 2005-05-26 02:16:30 1,343,768 ----a-w C:\WINDOWS\SYSTEM32\wuaueng.dll
+ 2007-07-30 17:19:42 1,712,984 ----a-w C:\WINDOWS\SYSTEM32\wuaueng.dll
- 2005-05-26 02:16:22 128,280 ----a-w C:\WINDOWS\SYSTEM32\wucltui.dll
+ 2007-07-30 17:19:32 325,976 ----a-w C:\WINDOWS\SYSTEM32\wucltui.dll
- 2005-05-26 02:19:32 173,536 ----a-w C:\WINDOWS\SYSTEM32\wuweb.dll
+ 2007-07-30 17:19:28 203,096 ----a-w C:\WINDOWS\SYSTEM32\wuweb.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{246B9A47-2166-4750-BC1E-382FBF4D72A5}]
C:\WINDOWS\system32\hgGwUkLb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2B0067BB-58B3-4CFC-A4AB-463D65047E9B}]
C:\WINDOWS\system32\xxyabBsP.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5ABCF450-8B50-457B-9AB0-DEE6FD88E0ED}]
C:\WINDOWS\system32\hgGywTlm.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6276DCEC-45AE-4216-90CB-FEEA3E4F81DE}]
C:\WINDOWS\System32\aclui32.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83551D90-D29E-4258-8990-31B7A4DA99B8}]
C:\WINDOWS\system32\mlJBqQJA.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85BB352E-E6F5-4AF2-874B-569BADEC8896}]
C:\WINDOWS\system32\vtUklKdb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FEAF2780-1A5F-6A4A-D236-FF7F9CB58578}]
C:\DOKUME~1\BJRN~1\ANWEND~1\OPENSO~1\draw film.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MyOverlayIcon1]
@={F6C95B20-E9D5-4927-8C00-2B03B554417D}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SlowFile Icon Overlay]
@={7D688A77-C613-11D0-999B-00C04FD655E1}

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 12:00 15360]
"Windows Workstation Service"="wkssvc.exe" []
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]
"pollfour"="C:\DOKUME~1\BJRN~1\ANWEND~1\PLAYLO~1\save vga.exe" [ ]
"PnPUI Registrator"="C:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\PnPUIReg.exe" [2004-11-22 22:04 163840]
"PhonostarAgent"="C:\Programme\phonostar\ps_agent.exe" [2007-06-18 16:49 98304]
"PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-06-18 16:59 126976]
"Screenshot Captor"="C:\Programme\ScreenshotCaptor\ScreenshotCaptor.exe" [ ]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"ares"="C:\Programme\Ares\Ares.exe" [ ]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-17 13:57 68856]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Workstation Service"="wkssvc.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Tray"="C:\WINDOWS\System32\sistray.EXE" [2001-12-24 09:31 327680]
"SiS KHooker"="C:\WINDOWS\System32\khooker.exe" [2002-01-24 18:30 290816]
"Cmaudio"="cmicnfg.cpl" []
"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 11:40 28672]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]
"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-07-01 09:50 28672]
"Realtime Audio Engine"="mmrtkrnl.exe" []
"Windows Workstation Service"="wkssvc.exe" []
"gencroot"="C:\WINDOWS\gencroot.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-06-06 21:31 282624]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 04:02 262401]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-07-17 18:00 180269]
"C-Media Mixer"="Mixer.exe" [2003-03-20 08:21 1855488 C:\WINDOWS\mixer.exe]
"real axis ooze style"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vgaextrarealaxis\delete itch.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\SYSTEM32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22 86016]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"Waiting1690"="C:\Windows\stid1690.exe" [ ]
"acb5d410"="C:\WINDOWS\system32\mxfogsxl.dll" [ ]
"BMaf86e78c"="C:\WINDOWS\system32\puqhprja.dll" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Workstation Service"="wkssvc.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 12:00 15360]
"Windows Workstation Service"="wkssvc.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Workstation Service"="wkssvc.exe" []

C:\Dokumente und Einstellungen\Wibke\Startmen\Programme\Autostart\
Last.fm Helper.lnk - C:\Programme\Last.fm\LastFMHelper.exe [2008-01-10 19:17:51 106496]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
NETGEAR WG311v3 Smart Wizard.lnk - C:\WINDOWS\Installer\{70014586-7BBA-4A92-A610-CDC896C48F8F}\NewShortcut1_1.exe [2006-11-21 18:48:09 1078]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)
"NoClose"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoShutDown"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoLogOff"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoRun"= 0 (0x0)
"NoClose"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRjiheE]
rqRjiheE.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"VIDC.VDOM"= vdowave.drv
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3ivx"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"msacm.thx32"= thx32.acm
"wave.dvaudio"= dvaudio.drv
"vidc.ffds"= ffdshow.ax
"vidc.yv12"= yv12vfw.dll

Alt 07.06.2008, 15:58   #8
Boerdy
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windows Workstation Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Björn^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\Björn\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2006-08-18 12:15 471040 C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
C:\Programme\Ares\Ares.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
C:\Programme\BearShare\BearShare.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlazeServoTool]
C:\Programme\BlazeVideo\BlazeDVD\MediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]
C:\Programme\eMule\emule.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAZAA]
C:\Programme\Kazaa Lite\kpp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetPumper]
C:\Programme\NetPumper\NetPumperIEProxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2008-02-26 03:23 443968 C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ppmate]
--a------ 2006-11-03 11:50 1527879 C:\Programme\PPMate\PPMate\ppmate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-06-06 21:31 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Screenshot Captor]
C:\Programme\ScreenshotCaptor\ScreenshotCaptor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-02-01 18:22 21898024 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-04-17 13:57 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
--a------ 2006-04-29 15:21 94208 C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-01-16 00:54 37376 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zango]
c:\programme\zango\zango.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"SiS Tray"=C:\WINDOWS\SYSTEM32\sistray.exe
"SiS KHooker"=C:\WINDOWS\SYSTEM32\KHOOKER.EXE
"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd
"DownloadAccelerator"=C:\PROGRA~1\DAP\DAP.EXE /STARTUP
"SENTRY"=C:\WINDOWS\SENTRY.exe
"Goldensoft_MndlSvr"=C:\PROGRA~1\GOLDEN~1\CDGHOS~1\MndlSvr.exe
"VCDTower"=C:\PROGRA~1\GOLDEN~1\CDGHOS~1\VCDTower.exe
"LWBMOUSE"=C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"SchedulingAgent"=C:\WINDOWS\SYSTEM\mstask.exe
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\PPLive\\PPLive.exe"=
"C:\\Programme\\SopCast\\SopCast.exe"=
"C:\\Programme\\PPStream\\PPStream.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Programme\\tvants\\Tvants.exe"=
"C:\\Programme\\PPMate\\PPMate\\ppmate.exe"=
"C:\\Programme\\21cn\\VGO\\Clt.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo.exe"=
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-15 04:02]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-15 04:02]
R1 SSHDRV82;SSHDRV82;C:\WINDOWS\System32\drivers\SSHDRV82.sys [2004-11-05 15:36]
R2 MarxDev1;MarxDev1;C:\WINDOWS\system32\drivers\MarxDev1.sys [2001-05-28 15:30]
R2 MarxDev2;MarxDev2;C:\WINDOWS\system32\drivers\MarxDev2.sys [2001-05-28 15:30]
R2 MarxDev3;MarxDev3;C:\WINDOWS\system32\drivers\MarxDev3.sys [2001-05-28 15:30]
R3 CAM1690;USB PC Camera;C:\WINDOWS\system32\Drivers\cam1690.sys [2007-11-21 18:37]
S1 hidfltr;HID Filter Driver;C:\WINDOWS\system32\drivers\MWhid.sys [2005-07-29 05:07]
S2 UMAXPCLS;Scannertreiber (Druckeranschluss);C:\WINDOWS\system32\DRIVERS\umaxpcls.sys [2001-08-17 13:58]
S2 Windows Workstation Service;Windows Workstation Service;C:\WINDOWS\gencroot.exe []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 jgameenp;jgameenp;C:\DOKUME~1\BJRN~1\LOKALE~1\Temp\jgameenp.sys []
S3 msloop;Microsoft Loopbackadaptertreiber;C:\WINDOWS\system32\DRIVERS\loop.sys [2001-08-17 13:53]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 04:12]
S3 VNICPKT5;VNICPKT5 Protocol Driver;C:\WINDOWS\system32\VNICPKT5.SYS [2002-08-16 13:30]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\SETUP.EXE

*Newly Created Service* - SISPORT
.
Inhalt des "geplante Tasks" Ordners
"2006-06-29 19:12:00 C:\WINDOWS\Tasks\Erinnerung für den Deinstallationsablauf.job"
- C:\WINDOWS\System32\OOBE\oobebaln.exe
"2006-06-07 21:00:02 C:\WINDOWS\Tasks\Programmstart beschleunigen.job"
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-06-07 16:34:19
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.Zeit der Fertigstellung: 2008-06-07 16:37:40
ComboFix-quarantined-files.txt 2008-06-07 14:37:27

17 Verzeichnis(se), 3,708,518,400 Bytes frei
39 Verzeichnis(se), 3,703,840,768 Bytes frei
413

Alt 07.06.2008, 20:30   #9
BataAlexander
> MalwareDB
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
http://www.trojaner-board.de/53601-virtumonde-bekomme-es-nicht-weg.html

KILLALL::

Driver::
Windows Workstation Service

Collect::
C:\windows\system32\rqRjiheE.dll
C:\windows\system32\wkssvc.exe
C:\WINDOWS\gencroot.exe
C:\Windows\stid1690.exe
C:\WINDOWS\system32\mxfogsxl.dll
C:\WINDOWS\system32\puqhprja.dll
C:\WINDOWS\system32\vtUklKdb.dll
C:\WINDOWS\system32\hgGwUkLb.dll
C:\WINDOWS\system32\xxyabBsP.dll
C:\WINDOWS\system32\hgGywTlm.dll
C:\WINDOWS\System32\aclui32.dll
C:\WINDOWS\system32\mlJBqQJA.dll

Folder::
c:\programme\zango
C:\Programme\NetPumper
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vgaextrarealaxis
C:\DOKUME~1\BJRN~1\ANWEND~1\PLAYLO~1
C:\DOKUME~1\BJRN~1\ANWEND~1\OPENSO~1
C:\Programme\AskPBar

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windows Workstation Service]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetPumper]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zango]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRjiheE]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{246B9A47-2166-4750-BC1E-382FBF4D72A5}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2B0067BB-58B3-4CFC-A4AB-463D65047E9B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5ABCF450-8B50-457B-9AB0-DEE6FD88E0ED}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6276DCEC-45AE-4216-90CB-FEEA3E4F81DE}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83551D90-D29E-4258-8990-31B7A4DA99B8}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85BB352E-E6F5-4AF2-874B-569BADEC8896}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FEAF2780-1A5F-6A4A-D236-FF7F9CB58578}]


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Workstation Service"=-
"pollfour"=-


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Workstation Service"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Workstation Service"=-
"gencroot"=-
"real axis ooze style"=-
"Waiting1690"=-
"acb5d410"=-
"BMaf86e78c"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Workstation Service"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Workstation Service"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Workstation Service"=-
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\SYSTEM32\ggg
C:\WINDOWS\SYSTEM32\fucker.dgg
C:\WINDOWS\SYSTEM32\SET8E.tmp
C:\WINDOWS\inf\IEM\0407\SET64.tmp
C:\WINDOWS\inf\SET62.tmp
C:\WINDOWS\inf\IEM\0407\SET63.tmp
C:\WINDOWS\SYSTEM32\SET7E.tmp
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen.
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)

WICHTIG:
Wenn Du einen anderen Rechner zur Verfügung hast ändere dort die Zugangsdaten für:
  • Webmail Account
  • Spiele Accounts
  • Pay Pal
  • Ebay und andere Auktionshäuser
  • einfach alle auf diesem Rechner genutzten Logins
  • Wenn Du OnlineBanking auf dem Rechner betrieben hast, prüfe die Kontobewegung auf Unregelmäßigkeiten

Wichtig 2: Anwendungen wie
Zitat:
Ares
BearShare
emule
kpp.exe
HamaChi
Utorrent
sind zwar als Programm an sich keine Bedrohung, allerdings ziehen Downloads aus derlei Börsen Infektionen wie bei Dir nach sich!
Deinstalliere am besten alle!
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 08.06.2008, 11:04   #10
Boerdy
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


Ich habe es nun schon 2 mal probiert aber er erstellt einfach keine Logdatei.
Nach dem neustart kommt das blaue Fenster keine Programme starten usw.
und nach ca. 10 in. kommt "konnte Datei nicht finden"

Ich probiers nun noch mal ein 3. mal

Alt 08.06.2008, 11:24   #11
BataAlexander
> MalwareDB
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


Wenn combofix eine Datei nicht findet arbeitet es weiter. Was passiert bei Dir?
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 08.06.2008, 11:57   #12
Boerdy
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


So habs ein drittes mal gemacht. Wieder das gleiche es kommt keine Log Datei und irgendwann beendet sich dann combofix

Alt 08.06.2008, 12:11   #13
BataAlexander
> MalwareDB
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


Bitte starte Combofix ohne Script erneut und poste diese dann erstellte Logfile.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 08.06.2008, 16:32   #14
Boerdy
 
Virtumonde! Bekomme es nicht weg - Standard

Virtumonde! Bekomme es nicht weg


ComboFix 08-06-06.6 - Björn 2008-06-08 13:25:15.6 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Björn\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Bj”rn\Desktop\Musik\pg.lost-yes i am-2007\Desktop_.ini
.
---- Previous Run -------
.
C:\DOKUME~1\BJRN~1\ANWEND~1\PLAYLO~1
C:\DOKUME~1\BJRN~1\ANWEND~1\PLAYLO~1\D9BE706E
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vgaextrarealaxis
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vgaextrarealaxis\magsscrford
C:\Dokumente und Einstellungen\Bj”rn\Desktop\Musik\pg.lost-yes i am-2007\Desktop_.ini
C:\Programme\AskPBar
C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
C:\Programme\AskPBar\bar\Cache\13185005
C:\Programme\AskPBar\bar\Cache\131858DE.bin
C:\Programme\AskPBar\bar\Cache\13185B30.bin
C:\Programme\AskPBar\bar\Cache\13185DB1.bin
C:\Programme\AskPBar\bar\Cache\13186012.bin
C:\Programme\AskPBar\bar\Cache\1318613B.bin
C:\Programme\AskPBar\bar\Cache\files.ini
C:\Programme\AskPBar\bar\History\search2
C:\Programme\AskPBar\bar\Settings\prevcfg2.htm
C:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.-------\Legacy_WINDOWS_WORKSTATION_SERVICE
-------\Service_Windows Workstation Service
((((((((((((((((((((((( Dateien erstellt von 2008-05-08 bis 2008-06-08 ))))))))))))))))))))))))))))))
.2008-06-07 15:15 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\SYSTEM32\wucltui.dll.mui
2008-06-07 15:15 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuaucpl.cpl.mui
2008-06-07 15:15 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuapi.dll.mui
2008-06-07 15:15 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\SYSTEM32\wuaueng.dll.mui
2008-06-05 18:11 . 2008-06-06 10:58 <DIR> d-------- C:\Programme\Spyware Doctor
2008-06-05 18:11 . 2008-06-05 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\PC Tools
2008-06-05 18:11 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\iksyssec.sys
2008-06-05 18:11 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\iksysflt.sys
2008-06-05 18:11 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ikfilesec.sys
2008-06-05 18:11 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\kcom.sys
2008-06-05 13:38 . 2008-06-08 13:24 <DIR> d-------- C:\Programme\TheWorld 2.0
2008-06-05 13:11 . 2008-06-05 13:11 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\MSN6
2008-06-05 13:11 . 2008-06-05 13:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2008-06-04 12:23 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\SYSTEM32\VCCLSID.exe
2008-06-04 12:23 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\SYSTEM32\SrchSTS.exe
2008-06-04 12:23 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\SYSTEM32\VACFix.exe
2008-06-04 12:23 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\SYSTEM32\IEDFix.exe
2008-06-04 12:23 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\SYSTEM32\404Fix.exe
2008-06-04 12:23 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\SYSTEM32\Process.exe
2008-06-04 12:23 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\SYSTEM32\dumphive.exe
2008-06-04 12:23 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\SYSTEM32\WS2Fix.exe
2008-06-04 12:23 . 2008-06-05 11:27 3,342 --a------ C:\WINDOWS\SYSTEM32\tmp.reg
2008-06-04 12:09 . 2008-06-04 12:09 <DIR> d-------- C:\Programme\Multi-Browser XP Trial
2008-06-04 11:44 . 2008-06-04 11:44 0 --------- C:\WINDOWS\SYSTEM32\HFXA1.tmp
2008-06-04 11:38 . 2008-06-04 11:42 <DIR> d--h-c--- C:\WINDOWS\ie8
2008-06-04 11:37 . 2008-06-04 11:44 <DIR> d-------- C:\b20df040bc52e72feb9261
2008-06-03 20:12 . 2008-06-03 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-06-03 20:10 . 2008-06-03 20:10 90,624 --------- C:\WINDOWS\SYSTEM32\ggg
2008-06-03 18:19 . 2008-06-03 18:19 <DIR> d-------- C:\Programme\Trend Micro
2008-06-03 17:42 . 2008-06-03 17:42 280,576 --a------ C:\WINDOWS\SYSTEM32\fucker.dgg
2008-06-03 17:07 . 2008-06-03 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-03 17:06 . 2008-06-03 17:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-02 22:04 . 2008-06-02 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DFX
2008-06-02 20:50 . 2008-06-02 20:50 <DIR> d-------- C:\Programme\DFX
2008-05-29 23:45 . 2008-05-29 23:45 <DIR> d-------- C:\Programme\Ultra Fractal 4
2008-05-29 23:45 . 2008-05-29 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Ultra Fractal 4
2008-05-29 23:24 . 2008-05-29 23:46 <DIR> d-------- C:\Programme\Apophysis 2.0
2008-05-29 23:06 . 2008-05-29 23:06 <DIR> d-------- C:\Programme\Gamers.IRC
2008-05-29 23:06 . 2008-05-29 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\mIRC
2008-05-19 20:44 . 2008-05-19 20:44 <DIR> d-------- C:\Programme\Network Stumbler
2008-05-18 20:50 . 2008-06-04 19:09 <DIR> d-------- C:\Programme\Zattoo
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\SYSTEM32\lsdelete.exe
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-08 11:20 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-06-07 12:17 --------- d-----w C:\Programme\Trillian
2008-06-07 08:31 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-06 21:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-03 15:07 --------- d-----w C:\Programme\Lavasoft
2008-06-03 14:59 --------- d-----w C:\Programme\Last.fm
2008-06-02 20:15 --------- d-----w C:\Programme\Winamp
2008-06-02 19:32 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\uTorrent
2008-05-27 08:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-27 08:48 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\AdobeUM
2008-05-21 09:40 --------- d-----w C:\Programme\OpenOffice.org 2.0
2008-05-20 22:35 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Skype
2008-05-20 21:31 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\skypePM
2008-05-18 10:03 --------- d-----w C:\Programme\DivX
2008-05-15 09:47 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\OpenOffice.org2
2008-05-07 20:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-05-07 20:00 --------- d-----w C:\Programme\MAGIX
2008-05-07 19:55 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\MAGIX
2008-05-02 23:27 --------- d-----w C:\Programme\Coolstreaming_Tool-Bar_v1.0
2008-05-02 23:27 --------- d-----w C:\Programme\a-squared Free
2008-05-02 13:08 --------- d-----w C:\Programme\Windows Media Connect 2
2008-05-02 13:05 --------- d-----w C:\Programme\Nero
2008-05-02 13:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-05-02 13:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-02 13:03 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\COWON
2008-05-02 13:02 --------- d-----w C:\Programme\Google
2008-04-29 22:26 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Trillian
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-28 19:56 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Hamachi
2008-04-26 11:40 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\TVU Networks
2008-04-26 11:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2008-04-26 11:39 --------- d-----w C:\Programme\TVUPlayer
2008-04-24 22:08 --------- d-----w C:\Programme\Picasa2
2008-04-18 12:48 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Ashampoo
2008-04-18 12:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-04-18 12:44 --------- d-----w C:\Programme\Ashampoo
2008-04-16 09:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-12 19:27 --------- d-----w C:\Programme\ANSTOSS 3
2008-04-10 20:43 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-04-10 20:43 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Hamachi-Backup
2008-03-31 09:16 86,016 ----a-w C:\WINDOWS\SYSTEM32\OpenAL32.dll
2008-03-31 09:16 262,144 ----a-w C:\WINDOWS\SYSTEM32\wrap_oal.dll
2008-03-20 22:08 1,159,168 ------w C:\WINDOWS\SYSTEM32\SET8E.tmp
2008-03-20 22:07 39,258 ------w C:\WINDOWS\inf\IEM\0407\SET64.tmp
2008-03-20 22:07 2,661,220 ----a-w C:\WINDOWS\inf\SET62.tmp
2008-03-20 22:07 14,460 ------w C:\WINDOWS\inf\IEM\0407\SET63.tmp
2008-03-20 22:07 12,800 ------w C:\WINDOWS\SYSTEM32\SET7E.tmp
2008-03-04 21:55 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-03-15 13:19 280,576 ----a-w C:\WINDOWS\inf\WG311v3\WG311v3XP.sys
2006-03-15 13:19 280,576 ----a-w C:\WINDOWS\inf\WG311v3\WG311v3.sys
2006-03-15 13:19 212,992 ----a-w C:\WINDOWS\inf\WG311v3\CopyWHQLDriver.exe
2004-07-11 11:57 13,195 ----a-w C:\Dokumente und Einstellungen\Administrator\ZGUICFGW.DAT
2002-09-09 11:10 266 --sh--w C:\Programme\desktop.ini
2002-09-09 11:10 11,253 ---ha-w C:\Programme\folder.htt
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-08-20 15:55 56 --sha-r C:\WINDOWS\SYSTEM32\C0BC4D3316.sys
2004-08-20 15:59 848 --sha-w C:\WINDOWS\SYSTEM32\KGyGaAvL.sys
.------- Sigcheck -------
2006-06-13 21:32 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2004-08-04 12:00 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-06-13 21:32 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\SYSTEM32\dllcache\tcpip.sys
2006-06-13 21:32 359808 cee1276a4a71e3f8545d97c1aad2a6b0 C:\WINDOWS\SYSTEM32\DRIVERS\tcpip.sys
.
((((((((((((((((((((((((((((( snapshot_2008-06-07_16.36.57.26 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-07 12:58:42 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-08 10:15:07 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2005-05-26 02:16:30 41,240 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wups.dll
+ 2007-07-30 17:18:40 33,624 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wups.dll
- 2005-05-26 02:16:30 41,240 ----a-w C:\WINDOWS\SYSTEM32\wups.dll
+ 2007-07-30 17:18:40 33,624 ----a-w C:\WINDOWS\SYSTEM32\wups.dll
- 2005-05-26 02:16:30 18,200 ----a-w C:\WINDOWS\SYSTEM32\wups2.dll
+ 2007-07-30 17:19:12 43,352 ----a-w C:\WINDOWS\SYSTEM32\wups2.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MyOverlayIcon1]
@={F6C95B20-E9D5-4927-8C00-2B03B554417D}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SlowFile Icon Overlay]
@={7D688A77-C613-11D0-999B-00C04FD655E1}

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 12:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]
"PnPUI Registrator"="C:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\PnPUIReg.exe" [2004-11-22 22:04 163840]
"PhonostarAgent"="C:\Programme\phonostar\ps_agent.exe" [2007-06-18 16:49 98304]
"PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-06-18 16:59 126976]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-17 13:57 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Tray"="C:\WINDOWS\System32\sistray.EXE" [2001-12-24 09:31 327680]
"SiS KHooker"="C:\WINDOWS\System32\khooker.exe" [2002-01-24 18:30 290816]
"Cmaudio"="cmicnfg.cpl" []
"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 11:40 28672]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]
"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-07-01 09:50 28672]
"Realtime Audio Engine"="mmrtkrnl.exe" []
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-06-06 21:31 282624]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-07-17 18:00 180269]
"C-Media Mixer"="Mixer.exe" [2003-03-20 08:21 1855488 C:\WINDOWS\mixer.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\SYSTEM32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22 86016]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 00:54 37376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 12:00 15360]

C:\Dokumente und Einstellungen\Wibke\Startmen\Programme\Autostart\
Last.fm Helper.lnk - C:\Programme\Last.fm\LastFMHelper.exe [2008-01-10 19:17:51 106496]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
NETGEAR WG311v3 Smart Wizard.lnk - C:\WINDOWS\Installer\{70014586-7BBA-4A92-A610-CDC896C48F8F}\NewShortcut1_1.exe [2006-11-21 18:48:09 1078]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)
"NoClose"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoShutDown"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoLogOff"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoRun"= 0 (0x0)
"NoClose"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"VIDC.VDOM"= vdowave.drv
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3ivx"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"msacm.thx32"= thx32.acm
"wave.dvaudio"= dvaudio.drv
"vidc.ffds"= ffdshow.ax
"vidc.yv12"= yv12vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Björn^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\Björn\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2006-08-18 12:15 471040 C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
C:\Programme\Ares\Ares.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-04-15 04:02 262401 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
C:\Programme\BearShare\BearShare.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlazeServoTool]
C:\Programme\BlazeVideo\BlazeDVD\MediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]
C:\Programme\eMule\emule.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAZAA]
C:\Programme\Kazaa Lite\kpp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2008-02-26 03:23 443968 C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ppmate]
--a------ 2006-11-03 11:50 1527879 C:\Programme\PPMate\PPMate\ppmate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-06-06 21:31 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Screenshot Captor]
C:\Programme\ScreenshotCaptor\ScreenshotCaptor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-02-01 18:22 21898024 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-01-28 12:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-04-17 13:57 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
--a------ 2006-04-29 15:21 94208 C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-01-16 00:54 37376 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"SiS Tray"=C:\WINDOWS\SYSTEM32\sistray.exe
"SiS KHooker"=C:\WINDOWS\SYSTEM32\KHOOKER.EXE
"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd
"DownloadAccelerator"=C:\PROGRA~1\DAP\DAP.EXE /STARTUP
"SENTRY"=C:\WINDOWS\SENTRY.exe
"Goldensoft_MndlSvr"=C:\PROGRA~1\GOLDEN~1\CDGHOS~1\MndlSvr.exe
"VCDTower"=C:\PROGRA~1\GOLDEN~1\CDGHOS~1\VCDTower.exe
"LWBMOUSE"=C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"SchedulingAgent"=C:\WINDOWS\SYSTEM\mstask.exe
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\PPLive\\PPLive.exe"=
"C:\\Programme\\SopCast\\SopCast.exe"=
"C:\\Programme\\PPStream\\PPStream.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Programme\\tvants\\Tvants.exe"=
"C:\\Programme\\PPMate\\PPMate\\ppmate.exe"=
"C:\\Programme\\21cn\\VGO\\Clt.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-15 04:02]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-15 04:02]
R1 SSHDRV82;SSHDRV82;C:\WINDOWS\System32\drivers\SSHDRV82.sys [2004-11-05 15:36]
R2 MarxDev1;MarxDev1;C:\WINDOWS\system32\drivers\MarxDev1.sys [2001-05-28 15:30]
R2 MarxDev2;MarxDev2;C:\WINDOWS\system32\drivers\MarxDev2.sys [2001-05-28 15:30]
R2 MarxDev3;MarxDev3;C:\WINDOWS\system32\drivers\MarxDev3.sys [2001-05-28 15:30]
R3 CAM1690;USB PC Camera;C:\WINDOWS\system32\Drivers\cam1690.sys [2007-11-21 18:37]
S1 hidfltr;HID Filter Driver;C:\WINDOWS\system32\drivers\MWhid.sys [2005-07-29 05:07]
S2 UMAXPCLS;Scannertreiber (Druckeranschluss);C:\WINDOWS\system32\DRIVERS\umaxpcls.sys [2001-08-17 13:58]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 jgameenp;jgameenp;C:\DOKUME~1\BJRN~1\LOKALE~1\Temp\jgameenp.sys []
S3 msloop;Microsoft Loopbackadaptertreiber;C:\WINDOWS\system32\DRIVERS\loop.sys [2001-08-17 13:53]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 04:12]
S3 VNICPKT5;VNICPKT5 Protocol Driver;C:\WINDOWS\system32\VNICPKT5.SYS [2002-08-16 13:30]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\SETUP.EXE

*Newly Created Service* - WINIO.
Inhalt des "geplante Tasks" Ordners
"2006-06-29 19:12:00 C:\WINDOWS\Tasks\Erinnerung für den Deinstallationsablauf.job"
- C:\WINDOWS\System32\OOBE\oobebaln.exe
"2006-06-07 21:00:02 C:\WINDOWS\Tasks\Programmstart beschleunigen.job"
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-06-08 13:30:31
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.Zeit der Fertigstellung: 2008-06-08 13:33:52
ComboFix-quarantined-files.txt 2008-06-08 11:33:47
ComboFix2.txt 2008-06-07 14:37:41
17 Verzeichnis(se), 3,592,380,416 Bytes frei
39 Verzeichnis(se), 3,586,748,416 Bytes frei
334

Alt 08.06.2008, 16:40   #15
BataAlexander
> MalwareDB
 
Virtumonde! Bekomme es nicht weg - Reden

Virtumonde! Bekomme es nicht weg


Soweit ist es durchgelaufen, jetzt arbeite bitte den zweiten Teil meines Posts ab.



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Zitat:
C:\WINDOWS\SYSTEM32\ggg
C:\WINDOWS\SYSTEM32\fucker.dgg
C:\WINDOWS\SYSTEM32\SET8E.tmp
C:\WINDOWS\inf\IEM\0407\SET64.tmp
C:\WINDOWS\inf\SET62.tmp
C:\WINDOWS\inf\IEM\0407\SET63.tmp
C:\WINDOWS\SYSTEM32\SET7E.tmp
(lass auch die versteckten Dateien anzeigen!)


Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen.
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)

WICHTIG:
Wenn Du einen anderen Rechner zur Verfügung hast ändere dort die Zugangsdaten für:
  • Webmail Account
  • Spiele Accounts
  • Pay Pal
  • Ebay und andere Auktionshäuser
  • einfach alle auf diesem Rechner genutzten Logins
  • Wenn Du OnlineBanking auf dem Rechner betrieben hast, prüfe die Kontobewegung auf Unregelmäßigkeiten

Wichtig 2: Anwendungen wie

Zitat:
Ares
BearShare
emule
kpp.exe
HamaChi
Utorrent
sind zwar als Programm an sich keine Bedrohung, allerdings ziehen Downloads aus derlei Börsen Infektionen wie bei Dir nach sich!
Deinstalliere am besten alle!
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Antwort
Seite 1 von 2 1 2

Themen zu Virtumonde! Bekomme es nicht weg
angezeigt, antivir, editiere, eingefangen, gefangen, hijack, hijackthis, konnte, links, micro, problem, spybot, trend, virtumonde, wunsch


« Virus !!!! Doch Virtumundobegone findet nix ... | TR/Dldr.ConHook.aku bin machtlos »


Ähnliche Themen: Virtumonde! Bekomme es nicht weg


  1. Virtumonde.dll - Spybot löscht nicht - Einsatz von ComboFix, VundoFix, VirtumondoBeGone hilft nicht
    Plagegeister aller Art und deren Bekämpfung - 05.12.2010 (19)
  2. Virtumonde.sdn von Spybot gemeldet und nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 24.11.2009 (2)
  3. Virtumonde.sci nicht löschbar! selbst nach Neustart nicht
    Log-Analyse und Auswertung - 29.01.2009 (1)
  4. Virtumonde/Virtumonde.prx nicht entfernbar !!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2009 (29)
  5. Smitfraud C, virtumonde, virtumonde generic
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (11)
  6. Kann Virus Virtumonde nicht entfernen!
    Mülltonne - 24.12.2008 (0)
  7. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  8. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  9. Spybot meldet Smitfraud-C. Virtumonde & Virtumonde.generic Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2008 (1)
  10. Smitfraud-C. & Virtumonde & Virtumonde.generic
    Log-Analyse und Auswertung - 01.12.2008 (7)
  11. bekomme virtumonde nicht entfernt
    Log-Analyse und Auswertung - 09.11.2008 (10)
  12. Virtumonde nicht zu beseitigen
    Log-Analyse und Auswertung - 04.09.2008 (9)
  13. Virtumonde wollen nicht verschwinden
    Plagegeister aller Art und deren Bekämpfung - 21.08.2008 (15)
  14. Virtumonde --> ich komme nicht weiter
    Log-Analyse und Auswertung - 18.10.2007 (3)
  15. virtumonde lässt sich nicht entfernen
    Log-Analyse und Auswertung - 05.10.2007 (38)
  16. Virtumonde.....ist nicht wegzubekommen *seufz*
    Plagegeister aller Art und deren Bekämpfung - 04.09.2007 (6)
  17. ADSPY/Virtumonde.JP.74 kann ich nicht entfernen
    Log-Analyse und Auswertung - 16.06.2007 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Virtumonde! Bekomme es nicht weg - Moin, auf Wunsch eröffne ich einen eigenen Thread. Ich habe mir Virtumonde eingefangen und bekomme ihn nicht weg. Ad-Aware, Spybot, Antivir und Smitfraufix konnten das Problem nicht beheben. Hier die - Virtumonde! Bekomme es nicht weg...
Archiv
Du betrachtest: Virtumonde! Bekomme es nicht weg auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129