Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


Log-Analyse und Auswertung: Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Seite 1 von 2 1 2
Alt 18.08.2008, 14:24   #1
simsalabim
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Standard

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


Hi! Also mein Rechner (windows XP, ca. 2 Jahre alt) hat sich Virtumonde eingefangen. Bisher haben sich flgende Probleme eingestellt:
01. Rechner läuft deutlich langsamer
02. Wenn ich den Rechner ausmache startet er automatisch neu
03. automatische Windowsupdate lässt sich nicht wieder einstellen
04. Beim Hochfahren und starten von Windows wird immer einer der folgende "Fehlermeldungn" angezeigt (allrdings nie alle gleichzeitig):

winlogon.exe konnte ordentich ausgeführt werden und muss daher geshlossen werden

inksnfrk.dll lässt sich nicht ausführen

temppwiv.dll lässt sich nicht ausführen

05. Manchmal ist es so, dass ich gar nicht ins Internet komme, wenn ich aber dann jeweils spybot durchlaufen lasse gehts wieder problemlos (jedoch verlangsamt)
06. Durch die Infizierung durch Virtumonde sehr oftes aufblenden von PopUps, auch welche von Antivirus2008 bzw 2009 die einen kostenlosen scan durchführen möchten.
07. Antivirus2008 hatte ich auch schon auf dem rechner, konnte aber wohl durch Spybot glöscht werden.

So... das sind alle Auffälligkeiten die mir momentan so einfallen.

Genutzt habe ich bisher schon folgende Programme:

spybot search&destroy

SmitfraudFix

Avast Antivirus

CounterSpy

Antivir


Die meisten von ihnen finden immer "virtumonde" bzw "virtuminde.dll"

Ich hoffe meine bisherigen Aussagen sind aussagekräftig genug um euch eine Ansatz für Hilfetipps geben zu können!
Es wäre echt super super, wenn ihr mir helfen könntet den PC s zu säubern, dass ich nciht alles komplett neu machen muss!
Danke!!!
(Hoffe ich poste den logfile richtig...!!!!!)





Code: #
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:12, on 18.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Dokumente und Einstellungen\*******\Desktop\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [BM17f8ecd8] Rundll32.exe "C:\WINDOWS\system32\bvrdlkot.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [60489467250748512678078519800368] C:\Programme\Antivirus 2009\av2009.exe
O4 - HKCU\..\Run: [s9201] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SoftLand Ltd\Antivirus 2008 XP\av2008xp.exe" /autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [Taskman] C:\WINDOWS\system32\drivers\clock.exe
O4 - HKLM\..\Policies\Explorer\Run: [DataAccess] C:\WINDOWS\clocs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143220070893[/url]
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - download.divx.com/player/DivXBrowserPlugin.cab[/url]
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - static.ak.studivz.net/photouploader/ImageUploader4.cab[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - jackpotcity.microgaming.com/49jackpotcity/FlashAX.cab[/url]
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7800AC1-D9E3-4929-B801-7A810E40E699}: NameServer = 195.50.140.114 195.50.140.252
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
Geändert von simsalabim (18.08.2008 um 14:31 Uhr)

Alt 18.08.2008, 19:00   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Ausrufezeichen

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


Hallo und

Code:
ATTFilter
Platform: Windows XP SP2 (WinNT 5.01.2600)
Hier fehlt mindestens das SP3!!

Code:
ATTFilter
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
Du solltest wenn überhaupt nur einen Virenscanner mit aktivem Hintergrundwächter einsetzen. Mehrere kommen sich in die Quere und verbrauchen unnötig Systemresourcen.

Code:
ATTFilter
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
Wer Tauschbörsen nutzt, begibt sich aufs Glatteis. Die dort zu ladenden Dateien sind meistens nicht nur illegal, sondern auch meistens randvoll vom Malware gespickt. Zudem kam Bearshare damals zumindest selber noch mit Ad- und Spyware daher...

Acker diese Punkte für weitere Analysen ab:

A.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\bvrdlkot.dll
C:\WINDOWS\system32\drivers\clock.exe
C:\WINDOWS\clocs.exe
B.) Führe dieses MBR-Tool aus und poste die Ausgabe

C.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

D.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
E.) Mach ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________
Alt 18.08.2008, 19:49   #3
simsalabim
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Standard

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


Platform: Windows XP SP2 (WinNT 5.01.2600)

Wie bekomme ich da das SP3 hin?


Hm..ich dachte bearshare schon gelöscht zu haben...strange...
__________________
Alt 18.08.2008, 19:55   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Icon32

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


Zitat:
Zitat von simsalabim Beitrag anzeigen
Platform: Windows XP SP2 (WinNT 5.01.2600)

Wie bekomme ich da das SP3 hin?
Abwarten. Wenn wird das erst nach der Bereinigung (sofern die sich überhaupt noch lohnt! Wir müssen erst die Ergebnisse abwarten!) installiert.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.08.2008, 20:45   #5
simsalabim
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Standard

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


Hi!

ich versuche gerade alle o.g. schritte zu befolgen, allerdings gibts am anfang schon ein wenig probleme: Wenn ich wie bei dem einen beispiel genannt beim windowsexplorer unter ordneroptionen das häckchen für versteckte ordner anzeigen umändern will klappt dies nicht.
jedes mal wenn ich dieses häckchen wie genannt umsetze geht es sofort wieder in seine ursprüngliche Position zurück.

C:\WINDOWS\system32\bvrdlkot.dll
C:\WINDOWS\system32\drivers\clock.exe
C:\WINDOWS\clocs.exe

Wenn ich mein PC nach o.g. datein durchsuche findet er nur die 1. welche von spybot schon in einen extraordner verschoben hat (unter angewendete dateien). Darauf kann ich aber nciht zugreifen, da das mit den ausgeblendeten dateien nicht klappt...

Was meint ihr? Stelle ich mich einfach nur schlecht an...oder?


Alt 19.08.2008, 07:17   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Icon32

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


Dann überspring das und mach mit dem nächsten Schritt bitte weiter.
__________________
--> Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu

Alt 19.08.2008, 15:11   #7
simsalabim
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Standard

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


Ich habe so die ahnung, dass es nicht gut um den PC steht oder?, alo:

A: funktionert ja nicht....

B:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

C:

blacklight:
Code:
ATTFilter
 08/19/08 12:52:40 [Info]: BlackLight Engine 1.0.70 initialized
08/19/08 12:52:40 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/19/08 12:52:40 [Note]: 7019 4
08/19/08 12:52:40 [Note]: 7005 0
08/19/08 12:52:47 [Note]: 7006 0
08/19/08 12:52:47 [Note]: 7011 3988
08/19/08 12:52:47 [Note]: 7035 0
08/19/08 12:52:47 [Note]: 7026 0
08/19/08 12:52:47 [Note]: 7026 0
08/19/08 12:52:50 [Note]: FSRAW library version 1.7.1024
08/19/08 13:12:51 [Note]: 2000 1012
08/19/08 13:12:51 [Note]: 2000 1012
08/19/08 13:13:33 [Note]: 7007 0

Malwarbyte Antimalware:

würde ich gere ausführen aber es tritt folgendes auf, jedes Mal bei allen 3 versuchen:

nach ca. 35-38 Minuten hängt sich das Programm auf, hat 40-45 infizierte Objekte gefunden und ca. 76500 Dateien durchsucht.
Jedes mal hat sich das Programm gerade "TemporaryInternetfiles"-Ordner befunden.

Seit dem ich das Programm das erste Mal gestartet habe meldet mir mein AntivirProgramm gefühlte jede 5te Sekunde, oder aber mindestens wenn ich irgendein Dokumnt öffnen möchte, dass er den Trojaner monderb.fgx gefunden hätte, welchen ich natürlich jedes Mal lösche. (aber wiederum auch nicht immer...manchmal gibts auch ne 15 minuten pause)
Dieses monderb.fgx befindet sich unter: c:/WINDOWS/system32/nnnmlmgg.dll
VOR dem Start dieses Programmes ist diese Virus noch nie aufgetreten!
Wie gefährlich ist dieses Dinge und welche Funktion besitzt es?


D: noch nicht ausgeführt....da ich lieber einen weiteren Kommentar abwarten möchte und ich kein absoluter Experte in Sachen PCs bin.


E: Filelisting http://www.file-upload.net/download-...sting.txt.html




So...hoffe es gibt nun weitere Ansatzpunkte für euch. Habe alles im "normalen Modus" ausgeführt, weil ihr niht geschrieben habt, dass ich es im abgesicherten Modus hätte durchführen sollen.
Danke weitehin für die Hilfe
Geändert von simsalabim (19.08.2008 um 15:17 Uhr)

Alt 19.08.2008, 16:01   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Ausrufezeichen

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


Der MBR ist schonmal okay, das von Blacklight auch.
Mit MBAW müssen wir später nochmal durch, das ist weniger schön, daß der da abschmiert. Ich würd sagen löschen wir erstmal ein paar Dateien:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here" VORSICHT Die Liste ist lang!!
Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\bvrdlkot.dll
C:\WINDOWS\system32\drivers\clock.exe
C:\WINDOWS\clocs.exe
C:\WINDOWS\system32\uwEfNXyb.ini
C:\WINDOWS\system32\uwEfNXyb.ini2
C:\WINDOWS\system32\ysghqplm.ini
C:\WINDOWS\system32\mlpqhgsy.dll
C:\WINDOWS\system32\inhvtpeb.dll
C:\WINDOWS\system32\cckact.dll
C:\WINDOWS\system32\gmnoussx.exe
C:\WINDOWS\system32\1fe81b3a-.txt
C:\WINDOWS\system32\SBFC.dat
C:\WINDOWS\system32\SBRC.dat
C:\WINDOWS\system32\tbtutabb.ini
C:\WINDOWS\system32\grevosgo.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mulswjen.exe
C:\WINDOWS\system32\vivbul.dll
C:\WINDOWS\system32\nemoqnbg.dll
C:\WINDOWS\system32\hvmjpmdw.ini
C:\WINDOWS\system32\eexhxa.dll
C:\WINDOWS\system32\uvsmivye.dll
C:\WINDOWS\system32\wdmpjmvh.dll
C:\WINDOWS\system32\cjxpjahh.exe
C:\WINDOWS\system32\byXNfEwu.dll
C:\WINDOWS\system32\owxcprvv.ini
C:\WINDOWS\system32\tDgggMoq.ini
C:\WINDOWS\system32\tDgggMoq.ini2
C:\WINDOWS\system32\hefpsoaa.exe
C:\WINDOWS\system32\vsftfbyb.dll
C:\WINDOWS\system32\yvoxoh.dll
C:\WINDOWS\system32\fkolswqy.dll
C:\WINDOWS\system32\ocikfkbd.ini
C:\WINDOWS\system32\gghjlnnn.ini
C:\WINDOWS\system32\gghjlnnn.ini2
C:\WINDOWS\system32\qncqlbqm.exe
C:\WINDOWS\system32\horktcjg.dll
C:\WINDOWS\system32\smeclb.dll
C:\WINDOWS\system32\kmtgqrof.ini
C:\WINDOWS\system32\aemebwpd.dll
C:\WINDOWS\system32\jndqth.dll
C:\WINDOWS\system32\winbue32.dll
C:\WINDOWS\system32\nnnmlMgg.dll
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Wenn Du das ausgeführt und das avenger log hier schon gepostest hast, würde ich sagen, Du machst genau wie in der Anleitung unter (D.) beschrieben den Durchlauf mit Combofix, der schmeißt auch ne Menge raus und gibt wertvolle Informationen.

Probier erst danach einen neuen Durchlauf mit Malwarebytes.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.08.2008, 17:17   #9
simsalabim
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Standard

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


Malwarbyte hat jetzt doch geklappt!!!! :

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1070
Windows 5.1.2600 Service Pack 2

18:09:01 19.08.2008
mbam-log-08-19-2008 (18-08-56).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 107287
Laufzeit: 1 hour(s), 37 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 20
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 30

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\byXNfEwu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\nnnmlMgg.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cckact.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\winbue32.dll (Dialer) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05ede9de-6330-4ed0-8e74-e9b1a00564e0} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{05ede9de-6330-4ed0-8e74-e9b1a00564e0} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bdc4ea3e-c676-48fe-bec5-11ebbe2849e3} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{bdc4ea3e-c676-48fe-bec5-11ebbe2849e3} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e706737e-92fe-467f-be77-8baa0006a3c0} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnmlmgg (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e706737e-92fe-467f-be77-8baa0006a3c0} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\labelcommand.labelcommand (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\labelcommand.labelcommand.1 (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbue32 (Dialer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\14cbdf44 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e706737e-92fe-467f-be77-8baa0006a3c0} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm17f8ecd8 (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\byxnfewu -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\byxnfewu  -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cckact.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\byXNfEwu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\uwEfNXyb.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\uwEfNXyb.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\nnnmlMgg.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\mlpqhgsy.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ysghqplm.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\wdmpjmvh.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hvmjpmdw.ini (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\Karin Thiele\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CY6YMTKK\kb767887[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Karin Thiele\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MXB5UIN6\kb65666[1] (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{49712AA0-EBC5-49DD-A656-F0F5C0A97680}\RP677\A0092507.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\aemebwpd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cjxpjahh.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gmnoussx.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hefpsoaa.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\inhvtpeb.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jndqth.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mulswjen.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nemoqnbg.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qncqlbqm.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vivbul.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vsftfbyb.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yvoxoh.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\winbue32.dll (Dialer) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services\services.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\BM17f8ecd8.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM17f8ecd8.txt (Trojan.Vundo) -> No action taken.

ist "no action taken" was schlechtes?

Ach ja... es hat geklappt weil ich es im abgesicherten modus gemacht habe...
Geändert von simsalabim (19.08.2008 um 17:23 Uhr)

Alt 19.08.2008, 18:36   #10
simsalabim
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Standard

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


The Avengers habe ich jetzt auch ausgeführt, muss ich wohl aber nochmals durchführen da ich vergessen hatte "scan rootkit" anzuklicken


Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error:  file "C:\WINDOWS\system32\bvrdlkot.dll" not found!
Deletion of file "C:\WINDOWS\system32\bvrdlkot.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\drivers\clock.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\clock.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\clocs.exe" not found!
Deletion of file "C:\WINDOWS\clocs.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\uwEfNXyb.ini" not found!
Deletion of file "C:\WINDOWS\system32\uwEfNXyb.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\uwEfNXyb.ini2" not found!
Deletion of file "C:\WINDOWS\system32\uwEfNXyb.ini2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\ysghqplm.ini" not found!
Deletion of file "C:\WINDOWS\system32\ysghqplm.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\mlpqhgsy.dll" not found!
Deletion of file "C:\WINDOWS\system32\mlpqhgsy.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\inhvtpeb.dll" not found!
Deletion of file "C:\WINDOWS\system32\inhvtpeb.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\cckact.dll" not found!
Deletion of file "C:\WINDOWS\system32\cckact.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\gmnoussx.exe" not found!
Deletion of file "C:\WINDOWS\system32\gmnoussx.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\1fe81b3a-.txt" deleted successfully.
File "C:\WINDOWS\system32\SBFC.dat" deleted successfully.
File "C:\WINDOWS\system32\SBRC.dat" deleted successfully.
File "C:\WINDOWS\system32\tbtutabb.ini" deleted successfully.
File "C:\WINDOWS\system32\grevosgo.ini" deleted successfully.

Error:  file "C:\WINDOWS\system32\mcrh.tmp" not found!
Deletion of file "C:\WINDOWS\system32\mcrh.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\mulswjen.exe" not found!
Deletion of file "C:\WINDOWS\system32\mulswjen.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\vivbul.dll" not found!
Deletion of file "C:\WINDOWS\system32\vivbul.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\nemoqnbg.dll" not found!
Deletion of file "C:\WINDOWS\system32\nemoqnbg.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\hvmjpmdw.ini" not found!
Deletion of file "C:\WINDOWS\system32\hvmjpmdw.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\eexhxa.dll" deleted successfully.
File "C:\WINDOWS\system32\uvsmivye.dll" deleted successfully.

Error:  file "C:\WINDOWS\system32\wdmpjmvh.dll" not found!
Deletion of file "C:\WINDOWS\system32\wdmpjmvh.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\cjxpjahh.exe" not found!
Deletion of file "C:\WINDOWS\system32\cjxpjahh.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\byXNfEwu.dll" not found!
Deletion of file "C:\WINDOWS\system32\byXNfEwu.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\owxcprvv.ini" deleted successfully.
File "C:\WINDOWS\system32\tDgggMoq.ini" deleted successfully.
File "C:\WINDOWS\system32\tDgggMoq.ini2" deleted successfully.

Error:  file "C:\WINDOWS\system32\hefpsoaa.exe" not found!
Deletion of file "C:\WINDOWS\system32\hefpsoaa.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\vsftfbyb.dll" not found!
Deletion of file "C:\WINDOWS\system32\vsftfbyb.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\yvoxoh.dll" not found!
Deletion of file "C:\WINDOWS\system32\yvoxoh.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\fkolswqy.dll" deleted successfully.
File "C:\WINDOWS\system32\ocikfkbd.ini" deleted successfully.
File "C:\WINDOWS\system32\gghjlnnn.ini" deleted successfully.
File "C:\WINDOWS\system32\gghjlnnn.ini2" deleted successfully.

Error:  file "C:\WINDOWS\system32\qncqlbqm.exe" not found!
Deletion of file "C:\WINDOWS\system32\qncqlbqm.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\horktcjg.dll" deleted successfully.
File "C:\WINDOWS\system32\smeclb.dll" deleted successfully.
File "C:\WINDOWS\system32\kmtgqrof.ini" deleted successfully.

Error:  file "C:\WINDOWS\system32\aemebwpd.dll" not found!
Deletion of file "C:\WINDOWS\system32\aemebwpd.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\jndqth.dll" not found!
Deletion of file "C:\WINDOWS\system32\jndqth.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\winbue32.dll" not found!
Deletion of file "C:\WINDOWS\system32\winbue32.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\nnnmlMgg.dll" not found!
Deletion of file "C:\WINDOWS\system32\nnnmlMgg.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.



edit: nun nochmal mit rootkit durchgeführt.... hat aber keine rootkits gefunden. ansonsten ergebnis absolut identisch!!!

D: wird nachher erledigt...


und das mit den malwarebyte hatte ich schon erledigt als ich deinen post gelsen hatte...sry
Geändert von simsalabim (19.08.2008 um 19:15 Uhr)

Alt 19.08.2008, 19:35   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Blinzeln

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


OK, was noch vorhanden war hat der Avenger gelöscht.
Wenn Du mit Combofix durchbist, dann mach noch für einen Abgleich ein neues Filelisting und ein neues HijackThis Logfile. Du kannst beide Logfiles gezippt wieder bei fileupload.net hochladen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.08.2008, 21:01   #12
simsalabim
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Standard

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


Logfile von COMBOFIX :


Code:
ATTFilter
ComboFix 08-08-18.05 - Max Mustermann 2008-08-19 21:37:24.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1497 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Max Mustermann\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\MaxMustermann\UserData
C:\Dokumente und Einstellungen\MaxMustermann\UserData\2DTUNUP4\oXMLStoreUnit[1].xml
C:\Dokumente und Einstellungen\MaxMustermann\UserData\2DTUNUP4\showHideState[1].xml
C:\Dokumente und Einstellungen\MaxMustermann\UserData\2DTUNUP4\YL[2].xml
C:\Dokumente und Einstellungen\MaxMustermann\UserData\76CRNXKP\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\MaxMustermann\UserData\76CRNXKP\oXMLStoreUnit[1].xml
C:\Dokumente und Einstellungen\MaxMustermann\UserData\76CRNXKP\Tdy58[2].xml
C:\Dokumente und Einstellungen\MaxMustermann\UserData\8NLV26JT\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\MaxMustermann\UserData\8NLV26JT\showHideState[1].xml
C:\Dokumente und Einstellungen\MaxMustermann\UserData\8NLV26JT\YL[1].xml
C:\Dokumente und Einstellungen\MaxMustermann\UserData\index.dat
C:\Dokumente und Einstellungen\MaxMustermann\UserData\TB37LXCE\iconState[1].xml
C:\Dokumente und Einstellungen\MaxMustermann\UserData\TB37LXCE\iconState[2].xml
C:\Dokumente und Einstellungen\MaxMustermann\UserData\TB37LXCE\YL[1].xml

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2008-07-19 bis 2008-08-19  ))))))))))))))))))))))))))))))
.

2008-08-19 20:54 . 2008-08-19 20:54	<DIR>	d--------	C:\Programme\CCleaner
2008-08-19 18:38 . 2008-08-19 20:07	135,168	--a------	C:\zip.exe
2008-08-19 18:38 . 2008-08-19 20:07	19,286	--a------	C:\cleanup.exe
2008-08-19 18:38 . 2008-08-19 20:07	574	--a------	C:\cleanup.bat
2008-08-19 14:04 . 2008-08-19 14:04	<DIR>	d--------	C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-08-19 13:17 . 2008-08-19 13:17	<DIR>	d--------	C:\Dokumente und Einstellungen\MaxMustermann\Anwendungsdaten\Malwarebytes
2008-08-19 13:16 . 2008-08-19 13:16	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-19 13:16 . 2008-08-19 13:16	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-19 13:16 . 2008-08-17 15:01	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-19 13:16 . 2008-08-17 15:01	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-18 17:46 . 2008-08-18 17:46	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-08-18 17:46 . 2008-08-18 17:46	1,409	--a------	C:\WINDOWS\QTFont.for
2008-08-18 14:51 . 2008-08-18 14:51	<DIR>	d--------	C:\Programme\Trend Micro
2008-08-18 12:55 . 2008-08-18 12:55	<DIR>	d--------	C:\Programme\Windows Installer Clean Up
2008-08-18 12:37 . 2008-08-18 12:55	<DIR>	d--------	C:\Programme\MSECACHE
2008-08-17 19:54 . 2008-08-17 19:54	<DIR>	d--------	C:\Dokumente und Einstellungen\Max Mustermann\Anwendungsdaten\Sunbelt Software
2008-08-17 19:54 . 2008-08-17 19:54	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-08-17 19:53 . 2008-08-17 19:53	<DIR>	d--------	C:\Programme\Sunbelt Software
2008-08-17 13:10 . 2007-09-06 00:22	289,144	--a------	C:\WINDOWS\system32\VCCLSID.exe
2008-08-17 13:10 . 2008-05-29 09:35	86,528	--a------	C:\WINDOWS\system32\VACFix.exe
2008-08-17 13:10 . 2008-05-18 21:40	82,944	--a------	C:\WINDOWS\system32\IEDFix.exe
2008-08-17 13:10 . 2008-08-14 21:52	82,432	--a------	C:\WINDOWS\system32\IEDFix.C.exe
2008-08-17 13:10 . 2008-08-09 15:37	82,432	--a------	C:\WINDOWS\system32\404Fix.exe
2008-08-17 13:10 . 2007-10-04 00:36	25,600	--a------	C:\WINDOWS\system32\WS2Fix.exe
2008-08-16 00:26 . 2008-08-16 01:04	<DIR>	d--------	C:\Programme\Enigma Software Group
2008-08-15 16:32 . 2008-08-15 16:32	<DIR>	d--------	C:\Programme\Alwil Software
2008-08-15 15:27 . 2008-08-19 02:28	484	--a------	C:\WINDOWS\wininit.ini
2008-08-15 14:47 . 2008-08-15 14:47	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-08-15 14:47 . 2008-08-19 21:26	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-15 12:29 . 2008-08-19 18:09	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services
2008-08-04 23:10 . 2008-08-04 23:26	<DIR>	d--------	C:\WINDOWS\system32\CatRoot_bak
2008-07-27 11:15 . 2008-07-27 11:15	<DIR>	d--------	C:\Programme\DivX

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-19 19:40	---------	d-----w	C:\Dokumente und Einstellungen\MaxMustermann\Anwendungsdaten\OpenOffice.org2
2008-08-19 13:47	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-19 11:52	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-14 20:59	---------	d-----w	C:\Dokumente und Einstellungen\MaxMustermann\Anwendungsdaten\ICQ Toolbar
2008-08-14 19:59	---------	d-----w	C:\Programme\ICQToolbar
2008-08-14 12:57	---------	d-----w	C:\Dokumente und Einstellungen\MaxMustermann\Anwendungsdaten\Image Zone Express
2008-07-19 15:28	---------	d-----w	C:\Dokumente und Einstellungen\MaxMustermann\Anwendungsdaten\Nokia Multimedia Player
2008-06-20 10:44	360,960	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:32	225,920	----a-w	C:\WINDOWS\system32\drivers\tcpip6.sys
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-06 13:48 68856]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 12:55 5674352]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 20:49 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 16:29 7561216]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-09 16:29 86016]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-06-14 16:24 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-08-26 09:10 282624]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-02-03 09:35 223232]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"PCSuiteTrayApplication"="C:\Dokumente und Einstellungen\Karin Thiele\Desktop\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 13:20 227328]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-15 20:00 185896]
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-08-27 12:09 698864]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 16:21 61952 C:\WINDOWS\system32\HdAShCut.exe]
"nwiz"="nwiz.exe" [2006-03-09 16:29 1519616 C:\WINDOWS\system32\nwiz.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"Nokia.PCSync"="C:\Dokumente und Einstellungen\Karin Thiele\Desktop\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 15:58 1744896]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"=
"C:\\Programme\\Messenger\\Msmsgs.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-05-14 18:56]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-18 20:49]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2008-02-01 15:17]
S3 nmwcdnsuc;Nokia USB Flashing Generic;C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2008-02-01 15:17]
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{05ede9de-6330-4ed0-8e74-e9b1a00564e0} - (no file)
BHO-{5327FA78-0CA3-4018-9AA4-CEC39F4708E5} - (no file)
BHO-{5AC28EFF-BADB-45B1-A9F9-56E5246B8211} - (no file)
BHO-{66CF08B6-6363-4EC2-A33D-FB5835C881E1} - (no file)
BHO-{68AAD05F-AAB8-4345-B9CF-10E02DF0AFBA} - (no file)
BHO-{E4AE7C50-381B-4FF9-B193-96239A55C7D7} - (no file)
BHO-{E706737E-92FE-467F-BE77-8BAA0006A3C0} - (no file)
HKLM-Explorer_Run-Taskman - C:\WINDOWS\system32\drivers\clock.exe
HKLM-Explorer_Run-DataAccess - C:\WINDOWS\clocs.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Karin Thiele\Anwendungsdaten\Mozilla\Firefox\Profiles\cno1giwr.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 21:40:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.bin
C:\Programme\HP\Digital Imaging\bin\hpqste08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-19 21:45:04 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-08-19 19:44:54

Pre-Run: 15 Verzeichnis(se), 158,555,598,848 Bytes frei
Post-Run: 16 Verzeichnis(se), 158,581,415,936 Bytes frei

198	--- E O F ---	2008-08-14 15:14:21

Angeblich habe ich keine Wiederherstellungskonsole installiert... aber das kann daran liegen, dass sich dieses eine Icon nicht auf das ComboFix Icon gehen wollte...




Das File Listing:

http://www.file-upload.net/download-...sting.txt.html


HiJackThis- Logfile (sry...zippen hat nicht geklappt):

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:48:01, on 19.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Dokumente und Einstellungen\MaxMustermann\Desktop\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143220070893
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://jackpotcity.microgaming.com/49jackpotcity/FlashAX.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7800AC1-D9E3-4929-B801-7A810E40E699}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 9900 bytes

Ich hoffe ich hab jetzt an alles gedacht.....!!!! Mal sehen was du jetzt so sagst....

Alt 19.08.2008, 21:13   #13
simsalabim
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Standard

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


erstes "Update" von mir:

01. PC lässt sich wieder normal heunterfahren
02. automatisches Update ist wieder aktiviert und arbeitet dementsprechend
03. Es fliegen keine unnatürlichen PopUps durch die gegend. Also nicht unnatürlich oft.
04. Der PC hat seine normale geschwindigkeit wieder
05. Keine Anzeige beim hochfahren mehr nach dem Motto " ... konnte nicht geladen/gefunden werden"

Alt 20.08.2008, 11:57   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Icon32

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


Überprüf mal bitte, ob die Windows-Firewall an und ordentlich konfiguriert ist (nur die nötigsten Programme in der Ausnahmeliste).

Code:
ATTFilter
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
Spiel eine aktuelle Version von Java ein - diese ist veraltet und hat Sicherheitslücken, deinstalliere sie vorher!
Das gleiche gilt für den Adobe Reader, überprüf ob der aktuell ist.

Code:
ATTFilter
C:\Programme\Internet Explorer\IEXPLORE.EXE
Vom IE würde ich Dir abraten, nimm besser einen gescheiten Browser wie Firefox mit den Erweiterungen Adblock+ und Noscript - oder nimm Opera. Du kannst auch beide installieren.
Den IE einfach so lassen, der läßt sich nicht komplett deinstallieren ohne das System zu beschädigen - vermeide es bloß, ihn zu nutzen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.08.2008, 13:20   #15
simsalabim
 
Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Standard

Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


OK... Java und Adobereader aktualisiert!

Firefoy hatte ich schon installiert....

Jepp... firewall läuft


übrigens: Gestern habe ich nochmal nen Virenscan durchgeführt, wo ein Virus gefunden wurde. Aber der sollte weg sein... denn sowohl spybot usw haben nach Löschung nichts mehr gefunden!


Zum Abschluß habe ich eine weitere Frage:

Ich habe nun diverse Antivirenprogramme u.ä. und würde nun gerne wissen ob es okay ist wenn ich alle behalte oder ob ich lieber was deinstallieren sollte, damit sich da nichts in die Quere kommt. Installiert momentan sind:

spybot search&destroy

Counterspy

Malwarebytes

Antivir

Hijackthis

Blacklight

Combofix

CCleaner

Thx für deine Hilfe!!!





(P.S:.: weiterhin alles am laufen)

Antwort
Seite 1 von 2 1 2

Themen zu Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu
adobe, antivirus, avast!, avg, avira, computer, desktop, drivers, einstellungen, entfernen, fehlermeldung, google, helfen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, logon.exe, object, rundll, scan, shortcut, software, solution, starten, startet automatisch, super, system, taskman, urlsearchhook, virtumonde, windows, windows xp, windows\system32\drivers


« Doppelte avp.exe | ständige Werbeeinblendungen »


Ähnliche Themen: Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu


  1. Cleaner pro startet automatisch - Suchaschinen wurden geändert - Antivir lässt sich nicht öffnen ...
    Log-Analyse und Auswertung - 19.08.2015 (16)
  2. Windows 8: Rechner langsam, CPU fast immer 100%, Laufwerkfehler (lassen sich nicht korrigieren), Windowsupdates werden nicht installiert
    Log-Analyse und Auswertung - 23.10.2013 (27)
  3. Browser startet temporär nicht, Dateien lassen sich nur sehr langsam öffnen....
    Plagegeister aller Art und deren Bekämpfung - 30.04.2013 (9)
  4. Internet Explorer startet automatisch mehrere Prozesse, die sich nich schließen lassen.
    Plagegeister aller Art und deren Bekämpfung - 17.04.2012 (20)
  5. virtumonde, svchost? lässt sich nicht aufspüren/entfernen
    Plagegeister aller Art und deren Bekämpfung - 26.02.2011 (3)
  6. Programme schließen automatisch- Ccleaner und Malwerabytes lassen sich nicht öffnen
    Plagegeister aller Art und deren Bekämpfung - 18.07.2010 (3)
  7. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  8. Zlob, Virtumonde - Trojaner lassen sich nicht löschen
    Log-Analyse und Auswertung - 18.12.2008 (12)
  9. Virtumonde.dll / Backdoor.Win32.UltimateDefender.gfd lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 08.11.2008 (1)
  10. explorer startet nicht automatisch und lässt sich auch nicht starten
    Log-Analyse und Auswertung - 24.10.2008 (1)
  11. Virtumonde und andere Trojander lassen sich einfach nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.10.2008 (2)
  12. Virtumonde und andere Malware lässt sich nicht entfernen, bitte um Hilfe!
    Mülltonne - 01.10.2008 (0)
  13. Trojaner Virtumonde.24576 läßt sich nicht entfernen! Bitte um hilfe!
    Plagegeister aller Art und deren Bekämpfung - 21.06.2008 (29)
  14. Hilfe TR/Virtumonde.24576 lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 21.06.2008 (18)
  15. Trojaner Virtumonde & zlock.uc lassen sich nicht entfernen
    Log-Analyse und Auswertung - 16.01.2008 (4)
  16. virtumonde lässt sich nicht entfernen
    Log-Analyse und Auswertung - 05.10.2007 (38)
  17. Probleme mit meinem Rechner/Seiten lassen sich nicht oeffnen/Hijackthis Log
    Log-Analyse und Auswertung - 26.09.2004 (10)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu - Hi! Also mein Rechner (windows XP, ca. 2 Jahre alt) hat sich Virtumonde eingefangen. Bisher haben sich flgende Probleme eingestellt: 01. Rechner läuft deutlich langsamer 02. Wenn ich den Rechner - Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu...
Archiv
Du betrachtest: Virtumonde lassen sich nicht entfernen und Rechner startet automatisch neu auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129