Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.06.2008, 21:03   #1
DevilishGirl
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



Hallo erstma,
ich bräuchte mal ganz dringen Hilfe.
Ich habe über MSN nen virus geschickt bekommen und werde den nicht mehr los.
Ich habe MSN schon neu Installiert, von da an ging es eig. mit dem Virenarlam.
Jedoch geht mein automatisches Update nicht mehr seit dem ich den Virus habe auch kann ich keine Programme mehr downloaden.
Über HijackThis habe ich einen Log-File erstellen lassen und poste den gleich noch mit.
Ich hoffe mir kann hier jemand helfen.


Log-File


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:53:16, on 20.6.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
F:\Programme\Sony\PC Studio\Application Launcher\Application Launcher.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Sicherheit\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
F:\Programme\Winamp Player\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programme\52% Alcohol\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
F:\Programme\Sony\PC Studio\Mobile Phone Monitor\epmworker.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\antivir personaledition classic\avcenter.exe
G:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: {d6ab0bbb-91a4-b229-eb84-a3f2cdd36144} - {44163ddc-2f3a-48be-922b-4a19bbb0ba6d} - C:\WINDOWS\system32\bvivbuqs.dll
O2 - BHO: (no name) - {728AAF16-F1AF-4C45-8B1E-45C0F8519A28} - C:\WINDOWS\system32\tuvUMDUn.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: rightonads optimizer - {7D9362F8-77D8-4b29-97B5-621D550890C0} - C:\WINDOWS\System32\gzmrt.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {EDFF8C6C-F534-461E-960F-8D01E8A2D963} - C:\WINDOWS\system32\hgGvwvwW.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [postSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\System32\gzmrt.dll" DllStart
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "F:\Programme\Sony\PC Studio\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "F:\Programme\Winamp Player\Winamp\winampa.exe"
O4 - HKLM\..\Run: [memo site kind that] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site\Trust Jump.exe
O4 - HKLM\..\Run: [28619efd] rundll32.exe "C:\WINDOWS\system32\pgmitqrx.dll",b
O4 - HKLM\..\Run: [BM2b52ad61] Rundll32.exe "C:\WINDOWS\system32\vrodeytw.dll",s
O4 - HKCU\..\Run: [AlcoholAutomount] "F:\Programme\52% Alcohol\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [1mfcd] C:\DOKUME~1\***\ANWEND~1\MANAGE~1\Internet math the.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe Reader\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {065BCD9B-A8B5-43D2-8A04-9D28B58F1A89} - F:\Programme\XP AntiSpy\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {065BCD9B-A8B5-43D2-8A04-9D28B58F1A89} - F:\Programme\XP AntiSpy\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208507554406
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A63A18F-776B-46F8-8FC1-4474067522C7}: NameServer = 213.191.74.19 62.109.123.197
O20 - Winlogon Notify: tuvUMDUn - C:\WINDOWS\SYSTEM32\tuvUMDUn.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\WINDOWS\
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8144 bytes

Alt 20.06.2008, 21:27   #2
irrlicht
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



Hallo,
eine fast vollständige Sammlung von Schädlingen ,Spionen und allem sonstigen das man eigentlich nicht auf dem PC haben möchte.....
Hier ist viel zuviel Aufwand nötig, bei viel zu geringer Sicherheit alles erwischt zu haben...
Ich schlage eine frische Installation des Betriebssystems vor nach dieser Anleitunng
:
http://www.trojaner-board.de/51262-a...sicherung.html

Du mußt dir dringend über dein abenteuerliches Verhalten im Netz Gedanken machen..
Wenn du so weiter klickst ,kannst du bald wieder von vorne anfangen !
Irrlicht
__________________


Alt 20.06.2008, 21:32   #3
EGJ
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



Hallo und

Ladt dir Malwarebytes runter und mache einen kompletten Scan, poste hier den Report davon.
__________________

Alt 20.06.2008, 22:51   #4
DevilishGirl
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



Das kam dabei raus:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Alt 21.06.2008, 01:37   #5
BataAlexander
> MalwareDB
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



Poste bitte ein neues HijackThis Logfile zusammen mit dem Filelist.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link.

__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 21.06.2008, 02:52   #6
BataAlexander
> MalwareDB
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



Und hab ich glatt vergessen, bitte dies noch.

MSNFix
  • Lade dir bitte [http://www.sosvirus.changelog.fr/MSNFix.zip]MSNFix[/url].
  • Entpacke die Datei in einen eigenen Ordner und führe die MSNFix.bat aus.
  • Ein blaues Fenster sollte sich öffnen und eine Tastatureingabe erfragen. Gib "R" ein und lasse das Programm durchlaufen.
  • Mache nichts am Rechner während das Programm läuft.
  • Das Dein Desktop verschwindet ist normal, der taucht am Schluss auch wieder auf.
  • Wenn das Programm am Schluss rot wird, solltest du den Rechner neustarten.
  • Danach wird ein Bericht angezeigt. Den Inhalt dieses Berichts bitte hier posten.
__________________
--> Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen

Alt 21.06.2008, 02:59   #7
DevilishGirl
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Alt 21.06.2008, 03:09   #8
DevilishGirl
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



Kommt kein blaues Fenster das bleibt schwarz und will auch nichts von mit -.-*

Alt 21.06.2008, 03:11   #9
BataAlexander
> MalwareDB
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



Zitat:
Zitat von DevilishGirl Beitrag anzeigen
und will auch nichts von mit -.-*
Nicht? sowas.
Bei Dir ist einiges im argen, daher machen wir dann folgendes

ComboFix
  • Download ComboFix von hier oder hier auf Deinen Desktop.
  • Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
    (Auch Guards von Ad-, Spyware Programmen!)
  • Doppelklicke die combofix.exe.
  • Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:
  • Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
    Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
  • Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
  • Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
  • Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
  • Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 21.06.2008, 03:33   #10
DevilishGirl
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



ComboFix:

ComboFix 08-06-20.1 - Kryssi 2008-06-21 3:19:57.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.390 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kryssi\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM2b52ad61.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bvivbuqs.dll
C:\WINDOWS\system32\lebukyid.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\rightonadz-uninst.exe
C:\WINDOWS\system32\sjcjrhfr.ini
C:\WINDOWS\system32\vkxqnhdy.ini
C:\WINDOWS\system32\WwvwvGgh.ini
C:\WINDOWS\system32\WwvwvGgh.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-21 bis 2008-06-21 ))))))))))))))))))))))))))))))
.

2008-06-20 22:05 . 2008-06-20 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Malwarebytes
2008-06-20 22:05 . 2008-06-20 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-20 22:05 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-20 22:05 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-19 17:21 . 2008-06-19 17:21 23,510,720 --a------ C:\WINDOWS\dotnetfx.exe
2008-06-19 15:56 . 2008-06-19 15:57 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-06-19 15:48 . 2008-06-19 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-06-15 01:51 . 2008-06-15 01:51 <DIR> d-------- C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\MSN6
2008-06-15 01:51 . 2008-06-15 01:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2008-06-11 15:41 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 18:11 . 2008-06-10 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Samsung
2008-06-10 18:04 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll
2008-06-10 18:03 . 2005-08-30 17:59 94,000 --a------ C:\WINDOWS\system32\drivers\ss_mdm.sys
2008-06-10 18:03 . 2005-08-30 17:57 58,320 --a------ C:\WINDOWS\system32\drivers\ss_bus.sys
2008-06-10 18:03 . 2005-08-30 17:58 8,304 --a------ C:\WINDOWS\system32\drivers\ss_mdfl.sys
2008-06-10 18:03 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cmnt.sys
2008-06-10 18:03 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cm.sys
2008-06-10 18:03 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_whnt.sys
2008-06-10 18:03 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_wh.sys
2008-06-10 18:03 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-05-23 21:24 . 2008-05-23 21:24 <DIR> d-------- C:\WINDOWS\system32\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-21 01:25 3,432,480 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-21 01:23 42,296 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-20 18:42 2,553,344 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-06-20 18:42 1,574,912 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2008-06-20 11:43 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\AdobeUM
2008-06-19 22:31 1,931,406 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-06-19 15:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-06-19 15:33 --------- d-----w C:\Programme\Windows Live
2008-06-19 13:59 2,033,664 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2008-06-17 14:31 2,930,688 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2008-06-17 14:31 2,507,776 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2008-06-10 16:03 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-03 13:38 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\managerfindburn
2008-06-03 13:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site
2008-05-18 22:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-05-17 13:31 3,139,072 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-05-17 13:31 2,355,712 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-05-16 20:10 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Winamp
2008-05-15 19:17 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\ICQ Toolbar
2008-05-15 15:43 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\ICQ
2008-05-15 15:34 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\InstallShield
2008-05-11 14:00 --------- d-----w C:\Programme\MSXML 6.0
2008-05-10 17:07 --------- d-----w C:\Programme\Reference Assemblies
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-29 16:18 2,125,824 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-04-29 13:56 2,112,000 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-04-27 18:17 --------- d-----w C:\Programme\NCH Swift Sound
2008-04-27 10:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2008-04-27 10:53 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Recordpad
2008-04-27 10:53 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\NCH Swift Sound
2008-04-27 10:52 --------- d-----w C:\Programme\NCH Software
2008-04-25 10:13 2,041,344 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-04-24 14:13 2,033,152 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-04-23 19:56 --------- d-----w C:\Programme\Java
2008-04-23 19:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-04-23 17:49 --------- d-----w C:\Programme\AvRack
2008-04-23 17:46 --------- d-----w C:\Programme\Realtek AC97
2008-04-20 10:10 697,856 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-04-19 10:59 2,015,744 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-04-18 23:25 1,904,640 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-04-18 15:39 1,900,544 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-04-18 15:39 1,823,232 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-04-18 08:58 277,936,872 ----a-w C:\Programme\WindowsXP-KB835935-SP2-DEU.exe
2008-04-17 16:44 1,434,624 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-03-21 13:29 2,560 ----a-w C:\WINDOWS\_MSRSTRT.EXE
.

------- Sigcheck -------

2001-08-18 23:00 12800 adbb33d5893bcf08e75ea54bb5669205 C:\WINDOWS\$ntservicepackuninstall$\svchost.exe
2004-08-04 00:58 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\ServicePackFiles\i386\svchost.exe
2004-08-04 00:58 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\svchost.exe

2001-08-18 23:00 75264 ae894c124feb008ad1876ef655967685 C:\WINDOWS\$ntservicepackuninstall$\ws2_32.dll
2004-08-04 00:57 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll
2004-08-04 00:57 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\ws2_32.dll

2002-08-29 05:43 521728 616896b708286da98d6a099293f181d7 C:\WINDOWS\$ntservicepackuninstall$\winlogon.exe
2004-08-04 00:58 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2004-08-04 00:58 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\winlogon.exe

2002-08-29 04:09 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\$ntservicepackuninstall$\ndis.sys
2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\ServicePackFiles\i386\ndis.sys
2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys

2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\ServicePackFiles\i386\ip6fw.sys
2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys

2001-08-18 23:00 101888 a87c3a6b407fb3b22c566315607ce229 C:\WINDOWS\$ntservicepackuninstall$\services.exe
2004-08-04 00:58 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\ServicePackFiles\i386\services.exe
2004-08-04 00:58 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\system32\services.exe

2002-08-29 05:43 11776 58239984742e8fd4cd3fceeb545366c1 C:\WINDOWS\$ntservicepackuninstall$\lsass.exe
2004-08-04 00:58 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\ServicePackFiles\i386\lsass.exe
2004-08-04 00:58 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\system32\lsass.exe

2002-08-29 05:43 13312 e5ee2f4700b6a85f0d45a18c67da500f C:\WINDOWS\$ntservicepackuninstall$\ctfmon.exe
2004-08-04 00:57 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2004-08-04 00:57 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7D9362F8-77D8-4b29-97B5-621D550890C0}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlcoholAutomount"="F:\Programme\52% Alcohol\Alcohol 52\axcmd.exe" [2007-07-02 12:22 219008]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"1mfcd"="C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\Internet math the.exe" [2008-06-03 15:35 446976]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-10-10 15:49 7286784]
"nwiz"="nwiz.exe" [2005-10-10 15:49 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2005-10-10 15:49 86016 C:\WINDOWS\system32\nvmctray.dll]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 10:42 90112 C:\WINDOWS\soundman.exe]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-08-09 05:03 81920]
"Sony Ericsson PC Suite"="F:\Programme\Sony\PC Studio\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"ZoneAlarm Client"="F:\Sicherheit\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"WinampAgent"="F:\Programme\Winamp Player\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"memo site kind that"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site\Trust Jump.exe" [2008-06-21 03:30 4207616]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"F:\\Programme\\ICQ\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-01-21 18:11]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-06-20 15:47:56 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- F:\Programme\Tune Up\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-21 03:24:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
F:\Programme\52% Alcohol\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
F:\Programme\Adobe Reader\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
F:\Programme\Sony\PC Studio\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-21 3:30:55 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-21 01:30:50

6 Verzeichnis(se), 1,502,638,080 Bytes frei
9 Verzeichnis(se), 1,604,718,592 Bytes frei

204 --- E O F --- 2008-06-11 14:03:28


HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Alt 21.06.2008, 03:55   #11
BataAlexander
> MalwareDB
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Folder::
C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7D9362F8-77D8-4b29-97B5-621D550890C0}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"1mfcd"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"memo site kind that"=-
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

COLOR="Blue"]Datei Upload für die weiter Prüfung[/COLOR]

Lade die Datei

C:\WINDOWS\_MSRSTRT.EXE

bitte hier hoch.

Füge Deinen Thread Link ein, dass ist

Code:
ATTFilter
http://www.trojaner-board.de/54378-hilfe-tr-virtumonde-24576-laesst-sich-nicht-entfernen.html
         

und trage Deinen Benutzernamen ein.

Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 21.06.2008, 04:10   #12
DevilishGirl
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



ComboFix 08-06-20.1 - Kryssi 2008-06-21 4:01:38.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.430 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kryssi\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Kryssi\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\
C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\0
C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\atom ping owns once.exe
C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\cnrzxens.exe
C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\cvkwkmbm.exe
C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\Internet math the.exe
C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\nlwkefio.exe
C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\sbimrneo.exe
C:\DOKUME~1\Kryssi\ANWEND~1\MANAGE~1\\type funk tick.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site\Trust Jump.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-21 bis 2008-06-21 ))))))))))))))))))))))))))))))
.

2008-06-20 22:05 . 2008-06-20 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Malwarebytes
2008-06-20 22:05 . 2008-06-20 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-20 22:05 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-20 22:05 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-19 17:21 . 2008-06-19 17:21 23,510,720 --a------ C:\WINDOWS\dotnetfx.exe
2008-06-19 15:56 . 2008-06-19 15:57 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-06-19 15:48 . 2008-06-19 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-06-15 01:51 . 2008-06-15 01:51 <DIR> d-------- C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\MSN6
2008-06-15 01:51 . 2008-06-15 01:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2008-06-11 15:41 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 18:11 . 2008-06-10 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Samsung
2008-06-10 18:04 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll
2008-06-10 18:03 . 2005-08-30 17:59 94,000 --a------ C:\WINDOWS\system32\drivers\ss_mdm.sys
2008-06-10 18:03 . 2005-08-30 17:57 58,320 --a------ C:\WINDOWS\system32\drivers\ss_bus.sys
2008-06-10 18:03 . 2005-08-30 17:58 8,304 --a------ C:\WINDOWS\system32\drivers\ss_mdfl.sys
2008-06-10 18:03 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cmnt.sys
2008-06-10 18:03 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cm.sys
2008-06-10 18:03 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_whnt.sys
2008-06-10 18:03 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_wh.sys
2008-06-10 18:03 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-05-23 21:24 . 2008-05-23 21:24 <DIR> d-------- C:\WINDOWS\system32\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-21 02:03 3,485,728 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-21 01:23 42,296 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-20 18:42 2,553,344 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-06-20 18:42 1,574,912 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2008-06-20 11:43 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\AdobeUM
2008-06-19 22:31 1,931,406 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-06-19 15:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-06-19 15:33 --------- d-----w C:\Programme\Windows Live
2008-06-19 13:59 2,033,664 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2008-06-17 14:31 2,930,688 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2008-06-17 14:31 2,507,776 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2008-06-10 16:03 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-18 22:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-05-17 13:31 3,139,072 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-05-17 13:31 2,355,712 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-05-16 20:10 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Winamp
2008-05-15 19:17 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\ICQ Toolbar
2008-05-15 15:43 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\ICQ
2008-05-15 15:34 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\InstallShield
2008-05-11 14:00 --------- d-----w C:\Programme\MSXML 6.0
2008-05-10 17:07 --------- d-----w C:\Programme\Reference Assemblies
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-29 16:18 2,125,824 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-04-29 13:56 2,112,000 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-04-27 18:17 --------- d-----w C:\Programme\NCH Swift Sound
2008-04-27 10:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2008-04-27 10:53 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\Recordpad
2008-04-27 10:53 --------- d-----w C:\Dokumente und Einstellungen\Kryssi\Anwendungsdaten\NCH Swift Sound
2008-04-27 10:52 --------- d-----w C:\Programme\NCH Software
2008-04-25 10:13 2,041,344 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-04-24 14:13 2,033,152 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-04-23 19:56 --------- d-----w C:\Programme\Java
2008-04-23 19:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-04-23 17:49 --------- d-----w C:\Programme\AvRack
2008-04-23 17:46 --------- d-----w C:\Programme\Realtek AC97
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-20 10:10 697,856 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-04-19 10:59 2,015,744 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-04-18 23:25 1,904,640 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-04-18 15:39 1,900,544 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-04-18 15:39 1,823,232 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-04-18 08:58 277,936,872 ----a-w C:\Programme\WindowsXP-KB835935-SP2-DEU.exe
2008-04-17 16:44 1,434,624 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-21 13:29 2,560 ----a-w C:\WINDOWS\_MSRSTRT.EXE
.

------- Sigcheck -------

2001-08-18 23:00 12800 adbb33d5893bcf08e75ea54bb5669205 C:\WINDOWS\$ntservicepackuninstall$\svchost.exe
2004-08-04 00:58 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\ServicePackFiles\i386\svchost.exe
2004-08-04 00:58 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\svchost.exe

2001-08-18 23:00 75264 ae894c124feb008ad1876ef655967685 C:\WINDOWS\$ntservicepackuninstall$\ws2_32.dll
2004-08-04 00:57 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll
2004-08-04 00:57 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\ws2_32.dll

2002-08-29 05:43 521728 616896b708286da98d6a099293f181d7 C:\WINDOWS\$ntservicepackuninstall$\winlogon.exe
2004-08-04 00:58 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2004-08-04 00:58 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\winlogon.exe

2002-08-29 04:09 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\$ntservicepackuninstall$\ndis.sys
2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\ServicePackFiles\i386\ndis.sys
2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys

2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\ServicePackFiles\i386\ip6fw.sys
2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys

2001-08-18 23:00 101888 a87c3a6b407fb3b22c566315607ce229 C:\WINDOWS\$ntservicepackuninstall$\services.exe
2004-08-04 00:58 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\ServicePackFiles\i386\services.exe
2004-08-04 00:58 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\system32\services.exe

2002-08-29 05:43 11776 58239984742e8fd4cd3fceeb545366c1 C:\WINDOWS\$ntservicepackuninstall$\lsass.exe
2004-08-04 00:58 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\ServicePackFiles\i386\lsass.exe
2004-08-04 00:58 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\system32\lsass.exe

2002-08-29 05:43 13312 e5ee2f4700b6a85f0d45a18c67da500f C:\WINDOWS\$ntservicepackuninstall$\ctfmon.exe
2004-08-04 00:57 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2004-08-04 00:57 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlcoholAutomount"="F:\Programme\52% Alcohol\Alcohol 52\axcmd.exe" [2007-07-02 12:22 219008]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-10-10 15:49 7286784]
"nwiz"="nwiz.exe" [2005-10-10 15:49 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2005-10-10 15:49 86016 C:\WINDOWS\system32\nvmctray.dll]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 10:42 90112 C:\WINDOWS\soundman.exe]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-08-09 05:03 81920]
"Sony Ericsson PC Suite"="F:\Programme\Sony\PC Studio\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"ZoneAlarm Client"="F:\Sicherheit\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"WinampAgent"="F:\Programme\Winamp Player\Winamp\winampa.exe" [2008-04-01 20:49 36352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - F:\Programme\Adobe Reader\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Microsoft Office.lnk - F:\Programme\Microsoft Office\Office\OSA9.EXE [1999-04-30 65588]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"F:\\Programme\\ICQ\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-01-21 18:11]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-06-20 15:47:56 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- F:\Programme\Tune Up\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-21 04:03:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-21 4:05:32
ComboFix-quarantined-files.txt 2008-06-21 02:04:41
ComboFix2.txt 2008-06-21 01:30:56

6 Verzeichnis(se), 1,588,101,120 Bytes frei
8 Verzeichnis(se), 1,572,413,440 Bytes frei

190 --- E O F --- 2008-06-11 14:03:28

Alt 21.06.2008, 04:22   #13
BataAlexander
> MalwareDB
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



Ok die Datei ist nicht infiziert, das einzige was sie macht ist Windows runterfahren. Lösche sie also bitte!

Das Combofix Log sieht sehr gut aus.

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.



Und erstelle nun ein neues HijackThis Logfile.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 21.06.2008, 04:25   #14
DevilishGirl
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Alt 21.06.2008, 04:30   #15
BataAlexander
> MalwareDB
 
Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Standard

Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen



Bitte noch Java updated. Xp Antispy ist ein nicht empfehlenswertes Programm, nicht weil es virenbehaftet ist sondern weil es die Funktionalität Deines Rechners einschränken kann. Überdenke den Einsatz dieses Tools.

Ansonsten ist der Rechner soweit sauber.

Das System nun mit Avira (vorher updaten und wie hier beschrieben einstellen) scannen.
Den Scanbericht hier posten, es kann durchaus sein das noch Kopien in der Systemwiederherstellung zu finden sind.
Nach dem scannen, setzte die Einstellungen wieder zurück sie sind nicht ganz alltagstauglich.

Ich penn jetzt mal.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Antwort

Themen zu Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen
adobe, antivir, application, avg, avira, bho, einstellungen, entfernen, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, keine programme, log-file, logfile, lässt sich nicht entfernen, monitor, mozilla, mozilla firefox, rundll, sicherheit, software, studio, system, virus, windows, windows xp



Ähnliche Themen: Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen


  1. BKA Trojaner lässt sich nicht entfernen...Bitte um Hilfe ! Datenrettung ?
    Plagegeister aller Art und deren Bekämpfung - 27.05.2014 (22)
  2. virtumonde, svchost? lässt sich nicht aufspüren/entfernen
    Plagegeister aller Art und deren Bekämpfung - 26.02.2011 (3)
  3. deutsche bank 20 tan trojaner lässt sich nicht entfernen. Hilfe?
    Plagegeister aller Art und deren Bekämpfung - 02.11.2010 (10)
  4. Hilfe Trojaner Horse lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 19.03.2009 (1)
  5. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  6. Virtumonde.dll / Backdoor.Win32.UltimateDefender.gfd lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 08.11.2008 (1)
  7. Virtumonde und andere Malware lässt sich nicht entfernen, bitte um Hilfe!
    Mülltonne - 01.10.2008 (0)
  8. Entfernung vom Trojaner Virtumonde.24576
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (1)
  9. Entfernung vom Trojaner Virtumonde.24576
    Mülltonne - 28.06.2008 (0)
  10. Trojaner Virtumonde.24576 läßt sich nicht entfernen! Bitte um hilfe!
    Plagegeister aller Art und deren Bekämpfung - 21.06.2008 (29)
  11. TR/virtumonde.24576
    Mülltonne - 20.06.2008 (2)
  12. Trojaner TR/Virtumonde.24576
    Plagegeister aller Art und deren Bekämpfung - 19.06.2008 (19)
  13. MSN Trojaner TR/Virtumonde.24576
    Log-Analyse und Auswertung - 18.06.2008 (0)
  14. awvts.dll - Virtumonde?! Lässt sich nicht löschen :(
    Plagegeister aller Art und deren Bekämpfung - 09.12.2007 (1)
  15. virtumonde lässt sich nicht entfernen
    Log-Analyse und Auswertung - 05.10.2007 (38)
  16. Hilfe!! Security Toolbar 7.1 lässt sich nicht entfernen (W32.Myzor.FK@yf)
    Mülltonne - 27.05.2007 (1)
  17. HILFE!!!!! hijack lässt sich nicht entfernen!!
    Log-Analyse und Auswertung - 08.02.2005 (7)

Zum Thema Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen - Hallo erstma, ich bräuchte mal ganz dringen Hilfe. Ich habe über MSN nen virus geschickt bekommen und werde den nicht mehr los. Ich habe MSN schon neu Installiert, von da - Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen...
Archiv
Du betrachtest: Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.