Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Win32/Adware.Virtumonde iifeEWpQ.dll

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.08.2008, 11:35   #1
danielsun47
 
Win32/Adware.Virtumonde iifeEWpQ.dll - Standard

Win32/Adware.Virtumonde iifeEWpQ.dll



hallo leute,

ich bräuchte mal eure hilfe.

ich habe mir gestern eine spyware/adware eingefangen, die sich mit hilfe mehrerer antivirenprogramme nicht beseitigen ließ. erst ESET SMART SECURITY hat das problem überhaupt identifziert.

das hauptproblem ist scheinbar eine datei namens iifeEWpQ.dll

aber er hat auch einige andere .dll `s gefunden. (ich poste im anschluß an den hijackthis-log den eset-log)

eset kann diese nicht löschen, verschiebt sie nur in quarantäne, was dem prog scheinbar nichts anhaben kann.

internet ist ganz bzw. teilweise ausgefallen. ab und zu werden selbsttätig sites geöffnet. ständig gibt es bluescreens und windows fehlermeldungen (zuweisungen usw..)

ok. hier also der hijackthis-log

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:02, on 22.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\ESET\ESET Smart Security\ekrn.exe
C:\Programme\RichiStudios\Shutdown\service.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\ESET\ESET Smart Security\egui.exe
C:\windows\system32\Rundll32.exe
C:\windows\system32\rundll32.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe
C:\windows\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\D*****\Desktop\HiJackThis.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [Rundll34] C:\windows\system32\winupx.exe
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [d89162c7] rundll32.exe "C:\windows\system32\qqibhlmf.dll",b
O4 - HKLM\..\Run: [BMdba2515b] Rundll32.exe "C:\windows\system32\yclblfeo.dll",s
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [wzc - konfigurationsfreier dienst für drahtlos ..] C:\windows\System32\svchost.exe -k netsvcs
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Somefox] C:\DOKUME~1\Daniel\LOKALE~1\Temp\B2.tmp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll
O9 - Extra button: Send to Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\windows\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - h**p://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - h**p://217.6.60.101/blazer/webinstall.cab
O20 - AppInit_DLLs: vjfklv.dll itmajb.dll,dgfqol.dll oxtzqv.dll
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\windows\system32\syshd.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\RichiStudios\Shutdown\service.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4882 bytes
         


so, und hier noch die von eset erkannten problemdateien


dies ist die häufigste meldung:

23.08.2008 10:19:55 Echtzeit-Dateischutz Datei C:\windows\system32\iifeEWpQ.dll Win32/Adware.Virtumonde Anwendung Gesäubert durch Löschen (nach dem nächsten Neustart) - in Quarantäne kopiert NT-AUTORITÄT\SYSTEM Ereignis aufgetreten beim Versuch, die Datei zu öffnen durch die Anwendung: \??\C:\windows\system32\winlogon.exe.


dann diese hier:

22.08.2008 23:27:29 HTTP-Prüfung Datei http://62.4.83.205/kb65666.exe?&uid=117741D6703811DDA069161827CFFFFF&rid=mm2&guid=34627F40134D48259678C81BA295472B&affid=161827 Win32/Adware.Virtumonde Anwendung Verbindung getrennt - in Quarantäne kopiert L******\D***** Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\WINDOWS\explorer.exe.


22.08.2008 23:22:53 Echtzeit-Dateischutz Datei C:\WINDOWS\SYSTEM32\MSXML71.DLL Win32/Adware.BHO.NDL Anwendung Gesäubert durch Löschen - in Quarantäne kopiert NT-AUTORITÄT\SYSTEM Ereignis aufgetreten beim Versuch, die Datei zu öffnen durch die Anwendung: C:\windows\explorer.exe.



22.08.2008 23:21:18 HTTP-Prüfung Datei http://207.226.178.149/fa07.dll Variante von Win32/Adware.Virtumonde.NBE Anwendung Verbindung getrennt - in Quarantäne kopiert L******\D***** Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\WINDOWS\explorer.exe.




> ich hoffe ihr könnt mir helfen. ich wäre euch sehr dankbar.

bis dann.

danielsun

Alt 23.08.2008, 14:03   #2
undoreal
/// AVZ-Toolkit Guru
 
Win32/Adware.Virtumonde iifeEWpQ.dll - Standard

Win32/Adware.Virtumonde iifeEWpQ.dll



Halli hallo danielsun47

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Installation des aktuellen ServicePacks:.
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:.
  • Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Räume mit cCleaner auf; Punkte 1&2.
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Überprüfe dein System danach mit SUPERAntiSpyware und Anti-Malware und poste auch ein freisches HijackThis log.
__________________

__________________

Alt 23.08.2008, 14:28   #3
danielsun47
 
Win32/Adware.Virtumonde iifeEWpQ.dll - Standard

Win32/Adware.Virtumonde iifeEWpQ.dll



vielen dank, undoreal..

werde also jetzt mit der abarbeitung deiner liste beginnen.

ich melde mich wieder.

eins schonmal vorweg: das secunia psi bekomm ich nicht zum laufen. es versucht ewig lange das interface zu laden bis irgendwann stillstand herrscht.
__________________

Alt 23.08.2008, 17:40   #4
undoreal
/// AVZ-Toolkit Guru
 
Win32/Adware.Virtumonde iifeEWpQ.dll - Standard

Win32/Adware.Virtumonde iifeEWpQ.dll



Zitat:
es versucht ewig lange das interface zu laden bis irgendwann stillstand herrscht.
Für die Dauer das Secunia läuft müssen die Internetoptionen auf niedrig gestellt sein. Nicht vergessen sie danach wieder hoch zu schrauben!
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 24.08.2008, 14:18   #5
danielsun47
 
Win32/Adware.Virtumonde iifeEWpQ.dll - Standard

Win32/Adware.Virtumonde iifeEWpQ.dll



hallo undoreal,

hab jetzt also die liste abgearbeitet. das hat einige zeit in anspruch genommen. nach der service pack III installation lief dann auch das secunia.

anbei sende ich dir die logfiles von Combofix, SuperAntiSpyware, Anti-Malware und ein eben gescanntes hijackthis.

die fehlermeldungen sind im übrigen weniger geworden das ungewollte aufrufen von internetseiten bleibt aus.

eine sache ist das noch, was mich etwas wundert. beim starten des rechners erscheint immer eine winupx-meldung (im autostart unter rundll34 beim neustart immer wieder geladen und läßt sich nicht abschalten - siehe hijackthis) und sagt, dass irgendwelche persönlichen einstellungen vorgenommen werden.

ok, also hier die logs:

1. combofix

Code:
ATTFilter
ComboFix 08-08-21.02 - Daniel 2008-08-23 18:15:22.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Daniel\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Daniel\Favoriten\Online Security Test.url
C:\windows\BMdba2515b.txt
C:\windows\BMdba2515b.xml
C:\windows\pskt.ini
C:\windows\system32\anyhlyyk.dll
C:\windows\system32\bujpwk.dll
C:\windows\system32\cftswo.dll
C:\windows\system32\clgxqvtt.dll
C:\windows\system32\dgfqol.dll
C:\windows\system32\drxcxhcc.dll
C:\windows\system32\efcDVpoP.dll
C:\windows\system32\enxlvhno.ini
C:\WINDOWS\system32\fmlhbiqq.ini
C:\windows\system32\glqetoho.dll
C:\windows\system32\hiuuxrpo.dll
C:\windows\system32\ikcqrecj.ini
C:\windows\system32\itmajb.dll
C:\windows\system32\iwgmltem.dll
C:\windows\system32\jcerqcki.dll
C:\windows\system32\kwugbcxv.dll
C:\WINDOWS\system32\lblcylou.ini
C:\windows\system32\lrdheulo.dll
C:\windows\system32\lrhfulwk.dll
C:\windows\system32\mdm.exe
C:\windows\system32\mwngly.dll
C:\windows\system32\omkhnqaa.dll
C:\windows\system32\onhvlxne.dll
C:\windows\system32\oxtzqv.dll
C:\windows\system32\pdiimxyu.dll
C:\WINDOWS\system32\PopVDcfe.ini
C:\WINDOWS\system32\PopVDcfe.ini2
C:\windows\system32\pusmudfu.dll
C:\WINDOWS\system32\pylqsjmq.ini
C:\windows\system32\qmjsqlyp.dll
C:\windows\system32\qqibhlmf.dll
C:\windows\system32\sflyeuxu.ini
C:\windows\system32\sjvowwlv.ini
C:\windows\system32\spmpkoen.dll
C:\windows\system32\sslwhfoa.ini
C:\windows\system32\tnjwhsmn.dll
C:\windows\system32\uainrlgf.dll
C:\windows\system32\ubuppm.dll
C:\windows\system32\ufdumsup.ini
C:\windows\system32\ukswedxm.dll
C:\windows\system32\uolyclbl.dll
C:\windows\system32\vfhhqeun.dll
C:\windows\system32\vjfklv.dll
C:\windows\system32\ybjyvqrw.dll
C:\windows\system32\yclblfeo.dll
C:\windows\system32\yfrqxmuy.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-23 bis 2008-08-23  ))))))))))))))))))))))))))))))
.

2008-08-23 17:47 . 2008-08-23 18:00	<DIR>	d--------	C:\Programme\CCleaner
2008-08-23 16:40 . 2008-08-23 16:40	<DIR>	d--------	C:\WINDOWS\system32\de-de
2008-08-23 16:36 . 2008-04-14 07:52	33,792	-----c---	C:\WINDOWS\system32\dllcache\custsat.dll
2008-08-23 16:32 . 2008-04-13 22:06	144,384	---------	C:\WINDOWS\system32\drivers\hdaudbus.sys
2008-08-23 16:32 . 2008-04-14 00:10	10,240	---------	C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-08-23 16:30 . 2006-12-29 00:31	19,569	--a------	C:\WINDOWS\005827_.tmp
2008-08-23 15:18 . 2008-08-23 15:18	<DIR>	d--------	C:\Programme\Secunia
2008-08-22 17:02 . 2008-08-22 17:02	<DIR>	d--------	C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ESET
2008-08-22 15:38 . 2008-08-22 16:59	<DIR>	d--------	C:\Programme\ESET
2008-08-22 15:38 . 2008-08-22 16:59	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
2008-08-22 15:09 . 2008-08-22 15:09	102	--ahs----	C:\WINDOWS\klif.spi
2008-08-22 12:46 . 2008-08-23 18:07	16,251	--a------	C:\WINDOWS\system32\winupx
2008-08-22 12:45 . 2008-08-22 15:05	34,823	--a------	C:\WINDOWS\system32\winupx.exe
2008-08-18 12:33 . 2008-08-21 09:15	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-08-18 12:33 . 2008-08-18 12:33	1,409	--a------	C:\WINDOWS\QTFont.for
2008-08-13 22:41 . 2008-04-11 21:04	691,712	-----c---	C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-13 22:41 . 2008-05-01 16:34	331,776	-----c---	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-04 16:06 . 2008-08-04 16:06	<DIR>	d--------	C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\DivX
2008-07-27 13:09 . 2008-07-27 13:54	<DIR>	d--------	C:\Programme\Google
2008-07-27 11:06 . 2008-07-27 11:07	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-23 14:12	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-23 11:42	---------	d-----w	C:\Programme\TuneUp Utilities 2004
2008-08-22 16:00	---------	d-----w	C:\Programme\Norton Security Scan
2008-08-22 13:28	---------	d-----w	C:\Programme\Kaspersky Lab
2008-08-22 11:02	---------	d-----w	C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\uTorrent
2008-08-02 13:56	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-02 12:00	0	----a-w	C:\Programme\temp01
2008-07-26 22:07	---------	d-----w	C:\Programme\DivX
2008-07-22 01:06	---------	d-----w	C:\Programme\MSXML 6.0
2008-07-21 11:35	---------	d-----w	C:\Programme\Microsoft AntiSpyware
2008-07-21 11:06	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-07-15 13:08	---------	d-----w	C:\Programme\QIP
2008-06-27 16:59	---------	d-----w	C:\Programme\MP3 Player Utilities 4.14
2008-06-23 22:57	---------	d-----w	C:\Programme\RichiStudios
2004-11-24 10:51	451,505	----a-w	C:\Dokumente und Einstellungen\F-Virn\F-PROT.EXE
2004-04-26 10:08	62,697	----a-w	C:\Programme\setup.ini
2004-04-26 10:08	564,476	----a-w	C:\Programme\Eumex 704PC DSL.msi
2004-04-26 10:08	3,442,756	----a-w	C:\Programme\Data.Cab
2001-02-27 02:11	967	----a-w	C:\Dokumente und Einstellungen\F-Virn\F-PROT.PIF
2000-11-06 11:16	102,400	----a-w	C:\Programme\setup.exe
2000-07-27 13:49	1,526,275	----a-w	C:\Programme\instmsiw.exe
2000-07-27 13:49	1,513,987	----a-w	C:\Programme\instmsia.exe
2003-12-13 12:12	32	--sha-w	C:\windows\{16A30907-D98F-43E9-BCC3-4DE5E6E3F4D2}.dat
2003-12-13 12:13	32	--sha-w	C:\windows\system32\{150456EF-8E25-49B6-8529-B0CA13121B1D}.dat
2003-12-13 12:12	32	--sha-w	C:\windows\system32\{5E76F2F0-4FDD-4C50-8A38-CFD18D0922F9}.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" [2004-11-11 18:51 303616]
"wzc - konfigurationsfreier dienst für drahtlos .."="C:\windows\System32\svchost.exe" [2008-04-14 07:53 14336]
"pdfSaver3"="C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe" [2004-09-05 17:20 380928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="C:\Programme\ESET\ESET Smart Security\egui.exe" [2008-06-10 18:52 1447168]
"Rundll34"="C:\windows\system32\winupx.exe" [2008-08-22 15:05 34823]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL
"VIDC.SP50"= SP5X_32.DLL
"VIDC.SP51"= SP5X_32.DLL
"VIDC.SP52"= SP5X_32.DLL
"VIDC.SP53"= SP5X_32.DLL

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwprovau

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NETGEAR WG111v3 Smart Wizard.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WG111v3 Smart Wizard.lnk
backup=C:\windows\pss\NETGEAR WG111v3 Smart Wizard.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ralink Wireless Utility.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ralink Wireless Utility.lnk
backup=C:\windows\pss\Ralink Wireless Utility.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
---hs---- 2008-04-14 07:52 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-01-06 23:39 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TUWinStylerThemeSvc"=3 (0x3)
"InCDsrv"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"InCD"=C:\Programme\Ahead\InCD\InCD.exe
"NeroCheck"=C:\WINDOWS\System32\\NeroCheck.exe
"SunJavaUpdateSched"=C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
"VTTimer"=VTTimer.exe
"MediaKey"=C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE
"A.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\A.tmp.exe
"A.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\A.tmp.exe
"6.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\6.tmp.exe
"6.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\6.tmp.exe
"24.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\24.tmp.exe
"24.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\24.tmp.exe
"1A.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\1A.tmp.exe
"1A.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\1A.tmp.exe
"11.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\11.tmp.exe
"11.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\11.tmp.exe
"36.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\36.tmp.exe
"38.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\38.tmp.exe
"36.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\36.tmp.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"MMReminderService"=C:\Programme\Mindjet\MindManager 7\MMReminderService.exe
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\German\\setup.exe"=
"C:\\Programme\\Opera\\opera.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2  11Fßä#·ºÄÖ`I;Network Security Service;C:\windows\system32\syshd.exe []
R2 Ca504av;Mega Camera, WDM Video Capture;C:\windows\system32\Drivers\Ca504av.sys []
R3 camvid20;Philips ToUcam Camera; Video;C:\windows\system32\DRIVERS\camdrv21.sys []
R3 Defender;Defender;C:\Programme\SinEspias\Defender.sys []
R3 dtwmnic5;Telekom Eumex 704PC DSL;C:\windows\system32\DRIVERS\dtwmnic5.sys [2001-11-16 18:24]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\windows\system32\DRIVERS\klim5.sys []
R3 kxwdmdrv;kX WDM Driver Service;C:\windows\system32\drivers\kx.sys [2003-08-19 00:27]
R3 MagixASIODrv;MAGIX_ASIO_BoostDriver;D:\magix\samplitude7_pro\mxasio.sys [2002-04-16 13:10]
R3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\windows\system32\NSNDIS5.SYS [2004-03-24 04:12]
R3 PEEK5;PEEK5 Protocol Driver;C:\DOKUME~1\Daniel\Desktop\NEUERO~2\AIRCRA~1.41\AIRCRA~1.41\win32\PEEK5.SYS []
R3 PSI;PSI;C:\windows\system32\DRIVERS\psi_mf.sys [2008-06-16 10:31]
R3 ulisa;Telekom Eumex x04PC (USB);C:\windows\system32\Drivers\ulisa.sys [2001-11-15 16:49]
R3 USBCamera;Mega Camera Still Image Capture, Version 1.00;C:\windows\system32\Drivers\Bulk504.sys []
R4 hpt3xx;hpt3xx;C:\windows\system32\DRIVERS\hpt3xx.syS []
S1 Asapi;Asapi;C:\windows\system32\DRIVERS\Asapi.syS [2002-04-17 21:27]
S2 CAPI20;Eumex 604PC HomeNet;C:\windows\System32\Drivers\CAPI20.SYS [2002-02-21 12:49]
S2 DETEWECP;Telekom CapiPort;C:\windows\System32\drivers\detewecp.sys [2001-09-18 17:46]
S2 RSShutdown;RichiStudios Shutdown;C:\Programme\RichiStudios\Shutdown\service.exe [2004-06-24 17:16]
S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;C:\windows\system32\DRIVERS\wg111v3.sys [2007-04-23 14:11]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C74ABF0-7E77-D45F-CC75-92AE801FBD0D}]
C:\windows\system32\winupx.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-22 C:\windows\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-11-11 18:51]

2008-08-22 C:\windows\Tasks\Norton Security Scan.job
- C:\Programme\Norton Security Scan\Nss.exe [2008-01-09 04:08]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-d89162c7 - C:\windows\system32\jcerqcki.dll
HKLM-Run-BMdba2515b - C:\windows\system32\pdiimxyu.dll
HKLM-Run-pdfSaver3 - (no file)
HKU-Default-Run-Symantec Network Driver Update Warning - C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
HKU-Default-Run-Symantec NetDriver Warning - C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
Notify-iifeEWpQ - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\xgupxl9m.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-23 18:34:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Rundll34 = C:\windows\system32\winupx.exe???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\ESET\ESET Smart Security\ekrn.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-23 18:37:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-08-23 16:37:07

Pre-Run: 2,184,884,224 Bytes frei
Post-Run: 2,092,544,000 Bytes frei

255	--- E O F ---	2008-08-23 14:09:25
         

2. superantispyware


Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/23/2008 at 08:26 PM

Application Version : 4.20.1046

Core Rules Database Version : 3545
Trace Rules Database Version: 1534

Scan type       : Complete Scan
Total Scan Time : 01:36:06

Memory items scanned      : 370
Memory threats detected   : 0
Registry items scanned    : 5169
Registry threats detected : 7
File items scanned        : 112468
File threats detected     : 7

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@main-scanner[1].txt

Trojan.SmartFinder
	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA
	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA#DisplayName
	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA#UninstallString

Adware.E404 Helper/Tracker
	HKCR\CLSID\Tracker.TrackerObj
	HKCR\CLSID\Tracker.TrackerObj#UserId

Trojan.FakeAlert/Desktop
	HKU\S-1-5-21-507921405-261478967-725345543-1003\CONTROL PANEL\DESKTOP#ORIGINALWALLPAPER
	HKU\S-1-5-21-507921405-261478967-725345543-1003\CONTROL PANEL\DESKTOP#CONVERTEDWALLPAPER

Browser Hijacker.Favorites
	C:\DOKUMENTE UND EINSTELLUNGEN\DANIEL\FAVORITEN\SEARCH THE WEB.URL
	C:\QOOBOX\QUARANTINE\C\DOKUMENTE UND EINSTELLUNGEN\DANIEL\FAVORITEN\ONLINE SECURITY TEST.URL.VIR

NotHarmful.Sysinternals Bluescreen Screen Saver
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{430931F7-64F8-4087-9008-F0C208EB200B}\RP756\A0161859.SCR

Unclassified.Unknown Origin/System
	C:\WINDOWS\SYSTEM32\CRYZ32.EXE

Trojan.Downloader-Gen
	C:\WINDOWS\SYSTEM32\STU.DLL

Trojan.Unclassified/Loader-Suspicious
	D:\EJAY\DANCE4\EJAY\EJAY\LOADER.EXE
         

3. antimalware


Code:
ATTFilter
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1078
Windows 5.1.2600 Service Pack 3

22:40:36 23.08.2008
mbam-log-08-23-2008 (22-40-36).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|)
Durchsuchte Objekte: 146679
Laufzeit: 1 hour(s), 1 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 46

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\bujpwk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\clgxqvtt.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\dgfqol.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\drxcxhcc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\efcDVpoP.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\hiuuxrpo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\itmajb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\iwgmltem.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\lrdheulo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\lrhfulwk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\omkhnqaa.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\onhvlxne.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\oxtzqv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\qmjsqlyp.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\spmpkoen.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\uainrlgf.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ukswedxm.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\uolyclbl.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\vfhhqeun.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\vjfklv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\yclblfeo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\yfrqxmuy.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP756\A0161859.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161953.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161941.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161943.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161944.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161945.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161946.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161948.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161949.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161950.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161954.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161956.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161957.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161958.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161961.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161963.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161965.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161967.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161968.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161969.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161970.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161972.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161973.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
         

der beitrag war zu lang. deswegen poste ich den hijackthis-log anschließend.


Alt 24.08.2008, 14:19   #6
danielsun47
 
Win32/Adware.Virtumonde iifeEWpQ.dll - Standard

Win32/Adware.Virtumonde iifeEWpQ.dll



so nun hier, da der letzte post zu lang:

4. das HijackThis von eben


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:11:43, on 24.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\ESET\ESET Smart Security\ekrn.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ESET\ESET Smart Security\egui.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\windows\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\a n t i\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/firefox?client=firefox-a&rls=org.mozilla:de-DE:official
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Rundll34] C:\windows\system32\winupx.exe
O4 - HKCU\..\Run: [wzc - konfigurationsfreier dienst für drahtlos ..] C:\windows\System32\svchost.exe -k netsvcs
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll
O9 - Extra button: Send to Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\windows\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\windows\system32\syshd.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5245 bytes
         

nun, bin ich mal gespannt. danke für die bisherige hilfe und einen schönen sonntag wünsche ich.

danielsun

Alt 24.08.2008, 18:05   #7
undoreal
/// AVZ-Toolkit Guru
 
Win32/Adware.Virtumonde iifeEWpQ.dll - Standard

Win32/Adware.Virtumonde iifeEWpQ.dll



Fixe mit HJT folgende Einträge:
Zitat:
O4 - HKLM\..\Run: [Rundll34] C:\windows\system32\winupx.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
Sowie alle ........(no file) und .......(file missing) Einträge.

Gleich danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
C:\windows\system32\winupx.exe
C:\windows\Rundll34.exe
C:\windows\system32\Rundll34.exe
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 26.08.2008, 11:10   #8
danielsun47
 
Win32/Adware.Virtumonde iifeEWpQ.dll - Standard

Win32/Adware.Virtumonde iifeEWpQ.dll



hallo..

also der avenger bricht den vorgang mit folgender fehlermeldung ab. > siehe log.


Code:
ATTFilter
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Aug 26 12:06:36 2008

12:06:36: Error: Could not open RunOnce key to register cleanup.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////
         

und nun ?

liebe grüße. danielsun

Alt 26.08.2008, 12:33   #9
undoreal
/// AVZ-Toolkit Guru
 
Win32/Adware.Virtumonde iifeEWpQ.dll - Standard

Win32/Adware.Virtumonde iifeEWpQ.dll



Aha. Ist ja interessant.

Versuche das Ganze bitte im abgesicherten Modus.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 30.08.2008, 10:05   #10
danielsun47
 
Win32/Adware.Virtumonde iifeEWpQ.dll - Standard

Win32/Adware.Virtumonde iifeEWpQ.dll



so. ich bin ein paar tage nicht dagewesen.

hab im abgesicherten modus gleiches nochmal probiert; allerdings auch mit dem gleichen resultat.


Code:
ATTFilter
Error: Could not open RunOnce key to register cleanup.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)
         

hmm..

Alt 30.08.2008, 16:53   #11
undoreal
/// AVZ-Toolkit Guru
 
Win32/Adware.Virtumonde iifeEWpQ.dll - Standard

Win32/Adware.Virtumonde iifeEWpQ.dll



Dann benutze bitte Killbox zum Löschen der Dateien.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu Win32/Adware.Virtumonde iifeEWpQ.dll
antivirus, bluescree, ctfmon.exe, dateien, desktop, down, drahtlos, einstellungen, eset smart security, eset-log, explorer, hijack, hkus\s-1-5-18, icq, iifeewpq.dll, internet explorer, löschen, mozilla, mozilla firefox, neustart, problem, programme, quara, rundll, security, selbsttätig, server, shutdown, smart security, system, temp, urlsearchhook, verschiebt, windows, windows xp, yahoo



Ähnliche Themen: Win32/Adware.Virtumonde iifeEWpQ.dll


  1. win32/privacy remover.m64 und win32/adware.virtumonde
    Mülltonne - 15.10.2008 (1)
  2. Warning! Win32/adware.virtumonde
    Plagegeister aller Art und deren Bekämpfung - 11.10.2008 (1)
  3. Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected
    Log-Analyse und Auswertung - 05.10.2008 (13)
  4. win32/adware.virtumonde und win32/prvacy remover64
    Plagegeister aller Art und deren Bekämpfung - 29.09.2008 (13)
  5. Win32/Adware.Virtumonde/PrivacyRemover.M64
    Log-Analyse und Auswertung - 21.09.2008 (13)
  6. Win32/Adware.Virtumonde und Win32/PrivacyRemover.M64
    Log-Analyse und Auswertung - 19.09.2008 (8)
  7. Win32/Adware/Virtumonde + Win32/Privacy/Remover.M64
    Log-Analyse und Auswertung - 12.09.2008 (12)
  8. Fehlermeldung am Desktop: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64
    Log-Analyse und Auswertung - 09.09.2008 (14)
  9. Wallpaper: Win32/Adware.Virtumonde, Win32/PrivacyRemover.M64
    Log-Analyse und Auswertung - 08.09.2008 (1)
  10. Win32/adware.virtumonde und win32/privacyremover.64
    Mülltonne - 02.09.2008 (0)
  11. Win32/Adware.Virtumonde und Win32/PrivacyRemover.M64
    Plagegeister aller Art und deren Bekämpfung - 01.09.2008 (22)
  12. Win32/Adware.Virtumonde - Win32/PrivacyRemover.M64 - TR/Zlob.KA.2 - Hilfe benötigt!
    Log-Analyse und Auswertung - 29.08.2008 (9)
  13. Hilfe, mein Computer zeigtan: WIN32/Adware.Virtumonde&Win32/PrivacyRemover.M64
    Log-Analyse und Auswertung - 25.08.2008 (2)
  14. Win32/Adware.Virtumonde - Win32/PrivacyRemover.M64 - Trojan.Zlob
    Mülltonne - 24.08.2008 (0)
  15. Adware.Win32.Virtumonde.dnn
    Log-Analyse und Auswertung - 15.04.2008 (5)
  16. adware.win32.virtumonde
    Plagegeister aller Art und deren Bekämpfung - 28.01.2008 (33)
  17. adware win32 virtumonde
    Log-Analyse und Auswertung - 23.12.2007 (1)

Zum Thema Win32/Adware.Virtumonde iifeEWpQ.dll - hallo leute, ich bräuchte mal eure hilfe. ich habe mir gestern eine spyware/adware eingefangen, die sich mit hilfe mehrerer antivirenprogramme nicht beseitigen ließ. erst ESET SMART SECURITY hat das problem - Win32/Adware.Virtumonde iifeEWpQ.dll...
Archiv
Du betrachtest: Win32/Adware.Virtumonde iifeEWpQ.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.