Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virtumonde entfernen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.06.2008, 20:03   #1
TheNick
Gesperrt
 
Virtumonde entfernen - Standard

Virtumonde entfernen



So! Zweiter Versuch. Virtumonde auf dem PC, löschen hilft ja nichts, da er sich immer wieder selber installiert. Die Google suche funktioniert auch nicht mehr, hoffe das liegt am Virtumonde. Die Pop-Ads kommen auch, hin und wieder geht auch ICQ offline.
Systemwiederherstellung nicht möglich, da ich keine Punkte gesetzt habe!

System: Windows XP

Bitte um Hilfe bei der Lösung des Problems!

Alt 30.06.2008, 20:07   #2
Sunny
Administrator
> Competence Manager
 

Virtumonde entfernen - Standard

Virtumonde entfernen



Hallo TheNick und




Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________

__________________

Alt 30.06.2008, 20:54   #3
TheNick
Gesperrt
 
Virtumonde entfernen - Standard

Virtumonde entfernen



Combofix Log:

ComboFix 08-06-20.4 - Niki 2008-06-30 20:42:44.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Niki\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Programme\fnts~1
C:\Programme\fnts~1\F?nts\
C:\Programme\fnts~1\rundll.exe
C:\Programme\icroso~1.net
C:\Programme\icroso~1.net\w?auboot.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\BM4f18ff9f.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\system32\CcehPXbc.ini
C:\WINDOWS\system32\CcehPXbc.ini2
C:\WINDOWS\system32\ddcAstsr.dll
C:\WINDOWS\system32\ekwtywny.ini
C:\WINDOWS\system32\lyrohcou.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\rev2
C:\WINDOWS\system32\wEfNqqss.ini
C:\WINDOWS\system32\wEfNqqss.ini2
C:\WINDOWS\system32\winpfz33.sys
C:\WINDOWS\system32\zxdnt3d.cfg

----- BITS: Possible infected sites -----

hxxp://updates.swarmcast.net
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CMDSERVICE
-------\Legacy_NETWORK_MONITOR


((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-30 ))))))))))))))))))))))))))))))
.

2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Malwarebytes
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-30 20:12 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-30 20:12 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-30 19:16 . 2008-06-30 19:16 103,424 --a------ C:\WINDOWS\system32\whqhbz.dll
2008-06-30 19:16 . 2008-06-30 19:16 103,424 --a------ C:\WINDOWS\system32\bxsxthte.dll
2008-06-30 19:07 . 2008-06-30 19:07 91,136 --a------ C:\WINDOWS\system32\iaysqcxa.dll
2008-06-30 19:07 . 2008-06-30 19:07 40,960 --a------ C:\WINDOWS\system32\bagnpvxa.dll
2008-06-30 15:43 . 2008-06-30 18:54 <DIR> d-------- C:\VundoFix Backups
2008-06-30 15:40 . 2008-06-30 15:40 40,960 --a------ C:\WINDOWS\system32\bpbhtvgt.dll
2008-06-30 15:31 . 2008-06-30 15:31 103,424 --a------ C:\WINDOWS\system32\jitbij.dll
2008-06-30 15:31 . 2008-06-30 15:31 103,424 --a------ C:\WINDOWS\system32\igsmtyuq.dll
2008-06-30 15:25 . 2008-06-30 15:25 91,136 --a------ C:\WINDOWS\system32\fjyasojc.dll
2008-06-30 13:32 . 2008-06-30 13:29 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-30 13:32 . 2008-06-30 13:32 2,547 --a------ C:\WINDOWS\unins000.dat
2008-06-29 22:38 . 2008-06-29 22:38 103,424 --a------ C:\WINDOWS\system32\wvkdsjgo.dll
2008-06-29 22:38 . 2008-06-29 22:38 103,424 --a------ C:\WINDOWS\system32\qkerix.dll
2008-06-29 22:29 . 2008-06-29 22:29 40,960 --a------ C:\WINDOWS\system32\pegsuaye.dll
2008-06-29 22:23 . 2008-06-29 22:23 90,624 --a------ C:\WINDOWS\system32\pbbyxnpw.dll
2008-06-29 21:51 . 2008-06-29 21:51 401,965 --a------ C:\WINDOWS\system32\g63.exe
2008-06-29 21:51 . 2008-06-29 21:52 63,918 --a------ C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll-uninst.exe
2008-06-29 16:26 . 2008-06-29 16:26 15,086 --a------ C:\WINDOWS\system32\FreePokerBonus.ico
2008-06-29 16:26 . 2008-06-29 16:26 13,502 --a------ C:\WINDOWS\system32\TuneclubIconDE.ico
2008-06-29 16:15 . 2008-06-29 20:02 <DIR> d--hs---- C:\WINDOWS\TmlraQ
2008-06-29 16:14 . 2008-06-29 16:14 <DIR> d-------- C:\WINDOWS\system32\modtrux01
2008-06-29 16:14 . 2008-06-29 16:14 <DIR> d-------- C:\WINDOWS\system32\mb9
2008-06-29 16:14 . 2008-06-29 16:14 <DIR> d-------- C:\Temp\syschk3
2008-05-27 15:31 . 2008-05-27 15:31 372,224 --a------ C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 18:41 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\DAEMON Tools
2008-06-30 17:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-30 11:37 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-29 21:40 --------- d-----w C:\Programme\eMule
2008-06-16 00:57 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\temp
2008-06-05 23:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-05 11:53 --------- d-----w C:\Programme\FlashGet
2008-05-20 21:48 --------- d-s---w C:\Programme\HLSW
2008-04-30 18:16 --------- d-----w C:\Programme\4Players CMS
2008-01-24 19:41 24,760 -c--a-w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-29 15:58 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9976ec38-b6f2-4771-ad3e-9982444db87c}]
2008-06-30 19:16 103424 --a------ C:\WINDOWS\system32\whqhbz.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e6a9bdc0-4776-843e-16e1-4a5a3c2c4270}]
2008-05-27 15:31 372224 --a------ C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools\daemon.exe" [2007-12-14 15:18 482760]
"DesktopX"="C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe" [2004-02-24 22:58 541184]
"Eaob"="C:\PROGRA~1\FNTS~1\rundll.exe" [ ]
"Qlay"="C:\Programme\?icrosoft.NET\w?auboot.exe" [ ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49 3139164]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 22:10 344064]
"Logitech Utility"="Logi_MwX.Exe" [2003-03-04 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 18:38 987187]
"BootSkin Startup Jobs"="C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" [2004-04-26 16:21 270336]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49 3139164]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 16:28 577536 C:\WINDOWS\soundman.exe]
"WZShutdown"="C:\WZShutdown\P_zero.exe" [2008-03-01 17:31 276480]
"{04eafbec-63a6-5101-cedf-b6d019a230c9}"="C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll" [2008-05-27 15:31 372224]
"BM4f18ff9f"="C:\WINDOWS\system32\iaysqcxa.dll" [2008-06-30 19:07 91136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\System32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll 2001-12-20 23:34 24576 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"E:\\Zoo Tycoon 2\\zt.exe"=
"C:\\Programme\\FlashGet\\FlashGet.exe"=
"C:\\Programme\\PPMate\\ppmate.exe"=
"C:\\Programme\\PPMate\\ppamnet.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
R1 BUFADPT;BUFADPT;C:\WINDOWS\System32\BUFADPT.SYS [2005-07-06 06:52]
R1 NPPTNT;NPPTNT;C:\WINDOWS\System32\npptNT.sys [2003-07-22 08:14]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2004-11-15 16:12]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
S1 Bwcdrv;Bwcdrv;C:\WINDOWS\System32\Bwcdrv.sys []
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 10:05]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\Niki\LOKALE~1\Temp\bDMusicb.sys []
S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2007-10-07 20:06]
S3 Cap7134;Cinergy 400 TV Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-02-12 17:44]
S3 CBBCM43;BUFFALO WLI-CB-XXX Series Wireless LAN Adapter;C:\WINDOWS\system32\DRIVERS\bcmwl5.sys [2005-07-11 07:46]
S3 PCD65X2;PCD65X2;C:\DOKUME~1\Niki\LOKALE~1\Temp\PCD65X2.sys []
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 10:57]
S3 SysInteg10992;SysInteg10992;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 00:08]
S3 SysInteg30644;SysInteg30644;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 00:08]
S3 TTTvTune;Cinergy 400 TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTvTune.sys [2002-02-12 17:44]
S3 WinDriver;WinDriver kernel module;C:\WINDOWS\system32\Drivers\windrvr.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47f56ade-1ea4-11dd-b3e2-000854ac9316}]
\Shell\AutoRun\command - J:\ClickMe.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 20:49:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\BWCSRV.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Autobahn\mlb-nexdef-autobahn.exe
C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-30 20:52:32 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-30 18:52:08

18 Verzeichnis(se), 403,091,456 Bytes frei
20 Verzeichnis(se), 320,913,408 Bytes frei

195
__________________

Alt 30.06.2008, 21:04   #4
Sunny
Administrator
> Competence Manager
 

Virtumonde entfernen - Standard

Virtumonde entfernen



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
http://www.trojaner-board.de/55071-virtumonde-entfernen.html#post350669

Collect::
C:\WINDOWS\system32\whqhbz.dll
C:\WINDOWS\system32\bxsxthte.dll
C:\WINDOWS\system32\iaysqcxa.dll
C:\WINDOWS\system32\bagnpvxa.dll
C:\WINDOWS\system32\bpbhtvgt.dll
C:\WINDOWS\system32\jitbij.dll
C:\WINDOWS\system32\igsmtyuq.dll
C:\WINDOWS\system32\fjyasojc.dll
C:\WINDOWS\system32\wvkdsjgo.dll
C:\WINDOWS\system32\qkerix.dll
C:\WINDOWS\system32\pegsuaye.dll
C:\WINDOWS\system32\pbbyxnpw.dll
C:\WINDOWS\system32\g63.exe
C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll-uninst.exe
C:\WINDOWS\system32\FreePokerBonus.ico
C:\WINDOWS\system32\TuneclubIconDE.ico

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9976ec38-b6f2-4771-ad3e-9982444db87c}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e6a9bdc0-4776-843e-16e1-4a5a3c2c4270}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{04eafbec-63a6-5101-cedf-b6d019a230c9}"=-
"BM4f18ff9f"=-
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!



Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann






Registierung ändern:


Start -> Ausführen -> regedit (eintippen - ENTER]

Folgenden Schlüssel aufsuchen und die Werte ändern ->

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001 -> 0
"UpdatesDisableNotify"=dword:00000001 -> 0
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 30.06.2008, 21:22   #5
TheNick
Gesperrt
 
Virtumonde entfernen - Standard

Virtumonde entfernen



Zip Datei gesendet.

Neues Log:

ComboFix 08-06-20.4 - Niki 2008-06-30 21:18:16.3 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Niki\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-30 ))))))))))))))))))))))))))))))
.

2008-06-30 20:52 . 2008-06-30 20:52 0 --a------ C:\WINDOWS\BM4f18ff9f.xml
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Malwarebytes
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-30 20:12 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-30 20:12 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-30 15:43 . 2008-06-30 18:54 <DIR> d-------- C:\VundoFix Backups
2008-06-30 13:32 . 2008-06-30 13:29 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-30 13:32 . 2008-06-30 13:32 2,547 --a------ C:\WINDOWS\unins000.dat
2008-06-29 16:15 . 2008-06-29 20:02 <DIR> d--hs---- C:\WINDOWS\TmlraQ
2008-06-29 16:14 . 2008-06-29 16:14 <DIR> d-------- C:\WINDOWS\system32\modtrux01
2008-06-29 16:14 . 2008-06-29 16:14 <DIR> d-------- C:\WINDOWS\system32\mb9
2008-06-29 16:14 . 2008-06-29 16:14 <DIR> d-------- C:\Temp\syschk3
2008-05-27 15:31 . 2008-05-27 15:31 372,224 --a------ C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 18:41 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\DAEMON Tools
2008-06-30 17:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-30 11:37 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-29 21:40 --------- d-----w C:\Programme\eMule
2008-06-16 00:57 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\temp
2008-06-05 23:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-05 11:53 --------- d-----w C:\Programme\FlashGet
2008-05-20 21:48 --------- d-s---w C:\Programme\HLSW
2008-04-30 18:16 --------- d-----w C:\Programme\4Players CMS
2008-01-24 19:41 24,760 -c--a-w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-29 15:58 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools\daemon.exe" [2007-12-14 15:18 482760]
"DesktopX"="C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe" [2004-02-24 22:58 541184]
"Eaob"="C:\PROGRA~1\FNTS~1\rundll.exe" [ ]
"Qlay"="C:\Programme\?icrosoft.NET\w?auboot.exe" [ ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49 3139164]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 22:10 344064]
"Logitech Utility"="Logi_MwX.Exe" [2003-03-04 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 18:38 987187]
"BootSkin Startup Jobs"="C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" [2004-04-26 16:21 270336]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49 3139164]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 16:28 577536 C:\WINDOWS\soundman.exe]
"WZShutdown"="C:\WZShutdown\P_zero.exe" [2008-03-01 17:31 276480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\System32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll 2001-12-20 23:34 24576 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"E:\\Zoo Tycoon 2\\zt.exe"=
"C:\\Programme\\FlashGet\\FlashGet.exe"=
"C:\\Programme\\PPMate\\ppmate.exe"=
"C:\\Programme\\PPMate\\ppamnet.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
R1 BUFADPT;BUFADPT;C:\WINDOWS\System32\BUFADPT.SYS [2005-07-06 06:52]
R1 NPPTNT;NPPTNT;C:\WINDOWS\System32\npptNT.sys [2003-07-22 08:14]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2004-11-15 16:12]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
S1 Bwcdrv;Bwcdrv;C:\WINDOWS\System32\Bwcdrv.sys []
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 10:05]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\Niki\LOKALE~1\Temp\bDMusicb.sys []
S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2007-10-07 20:06]
S3 Cap7134;Cinergy 400 TV Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-02-12 17:44]
S3 CBBCM43;BUFFALO WLI-CB-XXX Series Wireless LAN Adapter;C:\WINDOWS\system32\DRIVERS\bcmwl5.sys [2005-07-11 07:46]
S3 PCD65X2;PCD65X2;C:\DOKUME~1\Niki\LOKALE~1\Temp\PCD65X2.sys []
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 10:57]
S3 SysInteg10992;SysInteg10992;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 00:08]
S3 SysInteg30644;SysInteg30644;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 00:08]
S3 TTTvTune;Cinergy 400 TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTvTune.sys [2002-02-12 17:44]
S3 WinDriver;WinDriver kernel module;C:\WINDOWS\system32\Drivers\windrvr.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47f56ade-1ea4-11dd-b3e2-000854ac9316}]
\Shell\AutoRun\command - J:\ClickMe.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 21:19:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-30 21:20:07
ComboFix-quarantined-files.txt 2008-06-30 19:19:41
ComboFix2.txt 2008-06-30 19:12:40
ComboFix3.txt 2008-06-30 18:52:33

18 Verzeichnis(se), 330,510,336 Bytes frei
19 Verzeichnis(se), 319,787,008 Bytes frei

120


Alt 30.06.2008, 21:34   #6
Sunny
Administrator
> Competence Manager
 

Virtumonde entfernen - Standard

Virtumonde entfernen



Nochmal ein neues Script:



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
FILE::
C:\WINDOWS\BM4f18ff9f.xml
C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll

FOLDER::
C:\WINDOWS\TmlraQ
C:\WINDOWS\system32\modtrux01
C:\WINDOWS\system32\mb9
C:\Temp\syschk3
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________
--> Virtumonde entfernen

Geändert von Sunny (30.06.2008 um 21:39 Uhr)

Alt 30.06.2008, 21:47   #7
TheNick
Gesperrt
 
Virtumonde entfernen - Standard

Virtumonde entfernen



Neues Log:

omboFix 08-06-20.4 - Niki 2008-06-30 21:43:52.4 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Niki\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Niki\Desktop\cfscript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\BM4f18ff9f.xml
C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\GameSpy Arcade Setup\Dokumente und Einstellungen\Programme\Autostart\Deewoo.lnk
C:\GameSpy Arcade Setup\Dokumente und Einstellungen\Programme\Autostart\DW_Start.lnk
C:\Temp\syschk3
C:\Temp\syschk3\tdirp5.log
C:\WINDOWS\BM4f18ff9f.xml
C:\WINDOWS\system32\{fe1dd0ec-1ff5-3464-a7ad-e1158f04239c}.dll
C:\WINDOWS\system32\mb9
C:\WINDOWS\system32\mb9\dragGLL1.exe
C:\WINDOWS\system32\modtrux01
C:\WINDOWS\system32\modtrux01\modtrux011065.exe
C:\WINDOWS\TmlraQ

----- BITS: Possible infected sites -----

hxxp://updates.swarmcast.net
.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-30 ))))))))))))))))))))))))))))))
.

2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Malwarebytes
2008-06-30 20:12 . 2008-06-30 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-30 20:12 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-30 20:12 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-30 15:43 . 2008-06-30 18:54 <DIR> d-------- C:\VundoFix Backups
2008-06-30 13:32 . 2008-06-30 13:29 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-30 13:32 . 2008-06-30 13:32 2,547 --a------ C:\WINDOWS\unins000.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 18:41 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\DAEMON Tools
2008-06-30 17:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-30 11:37 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-29 21:40 --------- d-----w C:\Programme\eMule
2008-06-16 00:57 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\temp
2008-06-05 23:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-05 11:53 --------- d-----w C:\Programme\FlashGet
2008-05-20 21:48 --------- d-s---w C:\Programme\HLSW
2008-04-30 18:16 --------- d-----w C:\Programme\4Players CMS
2008-01-24 19:41 24,760 -c--a-w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-29 15:58 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

((((((((((((((((((((((((((((( snapshot@2008-06-30_20.51.48.28 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-30 18:48:21 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-30 19:24:22 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools\daemon.exe" [2007-12-14 15:18 482760]
"DesktopX"="C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe" [2004-02-24 22:58 541184]
"Eaob"="C:\PROGRA~1\FNTS~1\rundll.exe" [ ]
"Qlay"="C:\Programme\?icrosoft.NET\w?auboot.exe" [ ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49 3139164]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 22:10 344064]
"Logitech Utility"="Logi_MwX.Exe" [2003-03-04 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 18:38 987187]
"BootSkin Startup Jobs"="C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" [2004-04-26 16:21 270336]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49 3139164]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 16:28 577536 C:\WINDOWS\soundman.exe]
"WZShutdown"="C:\WZShutdown\P_zero.exe" [2008-03-01 17:31 276480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
MLB.TV NexDef Plug-in.lnk - C:\Programme\Autobahn\mlb-nexdef-autobahn.exe [2008-03-31 01:52:34 799496]
REALTEK RTL8185 Wireless LAN Utility.lnk - C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe [2008-03-02 02:42:04 675840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\System32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll 2001-12-20 23:34 24576 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"E:\\Zoo Tycoon 2\\zt.exe"=
"C:\\Programme\\FlashGet\\FlashGet.exe"=
"C:\\Programme\\PPMate\\ppmate.exe"=
"C:\\Programme\\PPMate\\ppamnet.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
R1 BUFADPT;BUFADPT;C:\WINDOWS\System32\BUFADPT.SYS [2005-07-06 06:52]
R1 NPPTNT;NPPTNT;C:\WINDOWS\System32\npptNT.sys [2003-07-22 08:14]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2004-11-15 16:12]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
S1 Bwcdrv;Bwcdrv;C:\WINDOWS\System32\Bwcdrv.sys []
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 10:05]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\Niki\LOKALE~1\Temp\bDMusicb.sys []
S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2007-10-07 20:06]
S3 Cap7134;Cinergy 400 TV Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-02-12 17:44]
S3 CBBCM43;BUFFALO WLI-CB-XXX Series Wireless LAN Adapter;C:\WINDOWS\system32\DRIVERS\bcmwl5.sys [2005-07-11 07:46]
S3 PCD65X2;PCD65X2;C:\DOKUME~1\Niki\LOKALE~1\Temp\PCD65X2.sys []
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 10:57]
S3 SysInteg10992;SysInteg10992;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 00:08]
S3 SysInteg30644;SysInteg30644;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 00:08]
S3 TTTvTune;Cinergy 400 TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTvTune.sys [2002-02-12 17:44]
S3 WinDriver;WinDriver kernel module;C:\WINDOWS\system32\Drivers\windrvr.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47f56ade-1ea4-11dd-b3e2-000854ac9316}]
\Shell\AutoRun\command - J:\ClickMe.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 21:46:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-30 21:47:09
ComboFix-quarantined-files.txt 2008-06-30 19:46:42
ComboFix2.txt 2008-06-30 19:20:08
ComboFix3.txt 2008-06-30 19:12:40
ComboFix4.txt 2008-06-30 18:52:33

18 Verzeichnis(se), 330,924,032 Bytes frei
20 Verzeichnis(se), 318,853,120 Bytes frei

146

Alt 30.06.2008, 21:57   #8
Sunny
Administrator
> Competence Manager
 

Virtumonde entfernen - Standard

Virtumonde entfernen




Combofix Deinstallieren


Klick auf Start -> Ausführen -> eintippen combofix /U



Damit ist Combofix und alle weiteren Programme entfernt wurden.



Gibt es noch Probleme mit dem System?


Ich empfehle dir noch einen Scan hiermit: (dauert aber etwas länger!)



Kaspersky - Onlinescanner


Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 30.06.2008, 22:01   #9
TheNick
Gesperrt
 
Virtumonde entfernen - Standard

Virtumonde entfernen



Google funktioniert wieder, bis jetzt auch noch kein Popup!

Vielen Dank für die schnelle und kompetente Hilfe!

Alt 30.06.2008, 22:05   #10
Sunny
Administrator
> Competence Manager
 

Virtumonde entfernen - Standard

Virtumonde entfernen



Schön das alles wieder funktioniert , nichts desto trotz solltest du Kaspersky nochmal ausführen.

Wahrscheinlich wurde durch eMule ein Trojan.Downloader eingeschleust, der widerum hat einen Vundo nachgeladen, somit war/ist der GAU komplett.
Es können also immer noch Reste auf dem System vorhanden sein!
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu Virtumonde entfernen
ellung, entferne, entfernen, funktionier, funktioniert, gesetzt, google, hilft, hoffe, icq, immer wieder, installier, löschen, lösung, nicht mehr, nicht möglich, nichts, problems, punkte, suche, virtumonde, windows, windows xp, zweiter



Ähnliche Themen: Virtumonde entfernen


  1. VIRTUMONDE und SMITFRAUD ENTFERNEN
    Log-Analyse und Auswertung - 02.02.2009 (8)
  2. Virtumonde von meinem System entfernen?
    Mülltonne - 05.01.2009 (0)
  3. Virtumonde entfernen - welcher Weg ist der richtige?
    Plagegeister aller Art und deren Bekämpfung - 02.01.2009 (1)
  4. Iwe kann man Virtumonde entfernen?
    Log-Analyse und Auswertung - 27.12.2008 (11)
  5. Kann Virus Virtumonde nicht entfernen!
    Mülltonne - 24.12.2008 (0)
  6. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  7. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  8. Virtumonde - wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 05.12.2008 (0)
  9. Virtumonde Trojaner--entfernen?
    Log-Analyse und Auswertung - 05.12.2008 (0)
  10. virtumonde entfernen
    Plagegeister aller Art und deren Bekämpfung - 11.11.2008 (10)
  11. Virtumonde.prx entfernen OHNE Format C: - nur wie?
    Mülltonne - 03.11.2008 (0)
  12. Virtumonde entfernen
    Mülltonne - 30.09.2008 (0)
  13. virtumonde entfernen
    Plagegeister aller Art und deren Bekämpfung - 18.08.2008 (7)
  14. Virtumonde entfernen
    Log-Analyse und Auswertung - 18.08.2008 (8)
  15. Virtumonde entfernen
    Mülltonne - 30.06.2008 (0)
  16. ADSPY/Virtumonde.JP.74 kann ich nicht entfernen
    Log-Analyse und Auswertung - 16.06.2007 (1)
  17. Virtumonde entfernen?
    Log-Analyse und Auswertung - 12.05.2007 (8)

Zum Thema Virtumonde entfernen - So! Zweiter Versuch. Virtumonde auf dem PC, löschen hilft ja nichts, da er sich immer wieder selber installiert. Die Google suche funktioniert auch nicht mehr, hoffe das liegt am Virtumonde. - Virtumonde entfernen...
Archiv
Du betrachtest: Virtumonde entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.