| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner VirtumondeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
29.12.2008, 19:36
| #1 |
 |  Trojaner Virtumonde Hallo ihr fleißigen Helfer. Mein Problem heißt Vitumonde und zwar er öffnet einfach Fenster in denen steht das ich einen Virus habe und bei Schließung des Fensters öffnet sich ein neues Fenster das angeblich meine Festplatte gescannt wird und unzälige Viren gefunden wurden. Und jedes mal wenn ich versuche Windows zu updaten schaltet er die automatischen Updates aus und selbst wenn ich mit der Windows-Seite klappt es nicht da er mich nicht auf die Seite läßt Ich hab echt sämtliche Programme probiert, um Virtumonde, was auf Gott weiss was für einen Weg auf meinen PC gekommen ist zu entfernen. Jedes Mal wenn ich Virtumonde mit S&D und Spyware, etc. gelöscht habe, kommt es nach einem Neustart wieder. Ich komme einfach keinen noch so kleinen Schritt weiter. Es wäre Klasse, wenn mir jemand helfen könnte. Herzlichen Dank im voraus! Hier ist das Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:30:14, on 29.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\CmUCReye.exe C:\WINDOWS\System32\drivers\PhiBtn.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\McAfee.com\Agent\mcagent.exe C:\Programme\SiteAdvisor\6261\SiteAdv.exe C:\Programme\McAfee\MBK\MBackMonitor.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe C:\Programme\McAfee\VirusScan\McShield.exe C:\Programme\McAfee\MPF\MPFSrv.exe C:\Programme\McAfee\MSK\MskSrver.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\SiteAdvisor\6261\SAService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Media Player\WMPNetwk.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe C:\WINDOWS\System32\alg.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Messenger\usnsvc.exe D:\World of Warcraft\Wow.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll O2 - BHO: (no name) - {1128ac57-1b58-42c7-9618-8736ff680759} - C:\WINDOWS\system32\soletemo.dll (file missing) O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe O4 - HKLM\..\Run: [PhiBtn] %SystemRoot%\System32\drivers\PhiBtn.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe" O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [MBkLogOnHook] C:\Programme\McAfee\MBK\LogOnHook.exe O4 - HKLM\..\Run: [jedatiheti] Rundll32.exe "C:\WINDOWS\system32\joyazawe.dll",s O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [CPMfb76a637] Rundll32.exe "c:\windows\system32\zufeyibi.dll",a O4 - HKCU\..\Run: [Sixth Idol] C:\DOKUME~1\Brigitte\ANWEND~1\OPTION~1\Stop Aim.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [jedatiheti] Rundll32.exe "C:\WINDOWS\system32\joyazawe.dll",s (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\WINDOWS\system32\joyazawe.dll C:\WINDOWS\system32\zomibole.dll c:\windows\system32\zufeyibi.dll O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\zufeyibi.dll O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\zufeyibi.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan\McShield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 13699 bytes Bitte heflt mir bin schon echt am verzeifeln vorallem weil ich mir den Pc mit meinen Eltern teile!  |
|
30.12.2008, 11:37
| #2 | |||
| /// Helfer-Team   | Trojaner Virtumonde Hallo Darksool und
__________________ Alle Punkte nach der Reihe ausführen: 1.) Wie viele Antivirus/Antispyware Programme willst du eigentlich installieren?? Bitte nur EIN Antivirus und EIN Antispyware Programm, den Rest deinstallieren: Zitat:
Zitat:
Zitat:
5.) Download von Malwarebytes' Anti-Malware. Danach installieren und die aktuellen Updates herunterladen. Vollständiger Systemscan auswählen und starten. Sobald der Scan beendet ist, klickst du auf "Ausgewähltes entfernen" und postest das Ergebnis dann hier! LG Crusader
__________________ Geändert von Crusader (30.12.2008 um 11:59 Uhr) |
|
31.12.2008, 13:39
| #3 |
| | Trojaner Virtumonde Malwarebytes' Anti-Malware 1.31
__________________Datenbank Version: 1574 Windows 5.1.2600 Service Pack 3 31.12.2008 13:37:38 mbam-log-2008-12-31 (13-37-38).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 165945 Laufzeit: 1 hour(s), 28 minute(s), 55 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 16 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP333\A0198336.exe (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP339\A0202737.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP342\A0203961.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP343\A0204185.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP344\A0206180.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP345\A0208328.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP345\A0208330.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP345\A0208332.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP299\A0127407.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\bihomojo.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\royotago.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\yolozode.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\zufeyibi.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wofuhipe.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wojifizi.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\nekoneto.dll (Trojan.Vundo) -> Quarantined and deleted successfully. |
|
01.01.2009, 17:11
| #4 |
| /// Helfer-Team | Trojaner Virtumonde Hallo Darksool, 1.) Lade dir SUPERAntiSpyware herunter und installiere es. Folge den Anweisungen und poste das entstandene Logfile! 3.) Downloade dir CCleaner, installiere ihn und navigiere zu Extras -> Programme deinstallieren -> Als Textdatei speichern.... Das Ergebnis hier posten! Anschließend noch alles bereinigen, wie in der Anleitung beschrieben! 4.) Lade F-Secure Blacklight in einen eigenen Ordner herunter, z.B. C:\Programme\Blacklight. Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme. Klick "I accept the agreement", "next", "Scan". Wenn der Scan fertig ist beende Blacklight mit "Close". Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern. 5.) Aktuelle HijackThis Log posten! LG Crusader
__________________ KEINE Hilfe per PN, für was wäre sonst das Forum da? Trojaner Board unterstützen! | Mei Bier is ned deppad, du bist deppad! | [Invisible Fighters] Clan |
|
02.01.2009, 22:32
| #5 |
| | Trojaner Virtumonde Weitere werden folgen SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 01/02/2009 at 07:25 PM Application Version : 4.24.1004 Core Rules Database Version : 3693 Trace Rules Database Version: 1669 Scan type : Complete Scan Total Scan Time : 01:02:23 Memory items scanned : 627 Memory threats detected : 0 Registry items scanned : 8089 Registry threats detected : 0 File items scanned : 30428 File threats detected : 2 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Brigitte\Cookies\brigitte@webmasterplan[2].txt C:\Dokumente und Einstellungen\Brigitte\Cookies\brigitte@ad.yieldmanager[1].txt |
|
02.01.2009, 22:36
| #6 |
| | Trojaner Virtumonde hier von ccleaner |
|
03.01.2009, 10:19
| #7 | ||
| /// Helfer-Team | Trojaner Virtumonde Hallo darksool, 1.) Bitte folgende(s) Programm(e) deinstallieren: Zitat:
Zitat:
3.) Lade dir bitte die aktuelle Version von Java und Adobe Reader herunter! Bitte noch nachholen: 4.) Lade F-Secure Blacklight in einen eigenen Ordner herunter, z.B. C:\Programme\Blacklight. Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme. Klick "I accept the agreement", "next", "Scan". Wenn der Scan fertig ist beende Blacklight mit "Close". Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern. 5.) Aktuelles HijackThis Log posten!
__________________ KEINE Hilfe per PN, für was wäre sonst das Forum da? Trojaner Board unterstützen! | Mei Bier is ned deppad, du bist deppad! | [Invisible Fighters] Clan |
|
12.01.2009, 07:50
| #8 |
| | Trojaner Virtumonde Hallo , ich habe aber noch vorher eine Frage gibt es irgendwie eine Möglichkeit sowas zu lernen bzw Seiten die sowas zu Verfügung stellen , weil ich das sehr spannend und interessant finde was ihr hier macht =) |
|
12.01.2009, 09:53
| #9 | |
| /// AVZ-Toolkit Guru  | Trojaner Virtumonde Ich springe dann mal ein..  Sag mal hast du dir zwischenzeitlich den KGB Keylogger installiert?? Du kannst bei uns lernen. Einfach mitlesen und viel fragen. Besser erstmal lange keine Hilfe geben sondern Erfahrungen sammel. Die am eigenen Test PC ausprobieren und wenns langsam passt dann die einfachen Threads übernehmen.. Bei dir läuft ein Keylogger! Ändere dringend von einem anderen definitiv sauberen PC aus alle deine Zugangs Acc und Passwörter und logge dich von deinem verseuchten PC aus nirgens mehr ein! Sage das auch unbedingt deinen Eltern! Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virtustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
12.01.2009, 21:09
| #10 |
| | Trojaner Virtumonde ja den habe ich extra hinzugefügt ^^ war auf ne lan ...... echt wie toll so ein ding ist ..... |
|
12.01.2009, 21:19
| #11 |
| | Trojaner Virtumonde 28 bytes MD5...: 7fdb75dc5e39eba201cf2a00953393fb SHA1..: 6035f23aed6f3435b5420182dcc4798d6ee12350 SHA256: 1d9327037062b9666e7fd9af56a6ade10243d05020f96ae868f4a02e6abeb3f7 SHA512: 5083ec61fe0e9f50c5f6d1beb8c98a6f47ae9956201b1c7c835ff5273468470b f778e9c7f26b61f6cb3ae2cffa6aa9eea5a892fe02c52bb2058ad7424930578e ssdeep: 24576:7xDtCY+YxddWXLhhv0YqRgByn9JcsoKokm:7xJCUxddWXLOONhk PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (75.0%) Win32 Executable Generic (16.9%) Generic Win/DOS Executable (3.9%) DOS Executable Generic (3.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x411cfd timedatestamp.....: 0x46e4ffad (Mon Sep 10 08:26:21 2007) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3b5ec 0x3c000 6.56 957645bbf3d2185e79585b35bd92b85a .rdata 0x3d000 0x63afd 0x64000 7.98 6dfed592fb8e5afbdad2ea330532c221 .data 0xa1000 0x21980 0x22000 7.33 f3dbea9308d0d22d401f1211398de39d .rsrc 0xc3000 0x1638c 0x17000 5.80 9789b8ae1b1eeb853c0e365c6de0367a ( 7 imports ) > comdlg32.dll: ChooseColorA, ChooseFontW, PageSetupDlgW, PrintDlgA > ADVAPI32.dll: DuplicateTokenEx, CryptVerifySignatureW, RegCreateKeyExA, CryptEnumProvidersW, LookupPrivilegeNameA, CryptAcquireContextA, RegDeleteValueW, CryptGenKey, RegReplaceKeyA, CryptDuplicateHash, RegNotifyChangeKeyValue, CryptHashSessionKey, LookupPrivilegeValueA, CryptSignHashW, RegEnumKeyW, CryptSetProviderA, CryptSetHashParam, RegLoadKeyW, DuplicateToken, CryptSetKeyParam > GDI32.dll: DeleteDC, GetTextColor, GetBkMode, GetSystemPaletteUse, SelectObject, Ellipse, SetDIBitsToDevice, GetTextExtentPointA, GetObjectA, SetGraphicsMode, PlayMetaFile, FloodFill, GetEnhMetaFileW, CreateCompatibleBitmap, CreateDCW, GetGlyphOutlineA, GetWindowOrgEx, GetDeviceCaps, ExtTextOutW > comctl32.dll: ImageList_SetBkColor, ImageList_SetIconSize, ImageList_GetIconSize, ImageList_DrawIndirect, CreateUpDownControl, InitCommonControlsEx, ImageList_Create, GetEffectiveClientRect > KERNEL32.dll: GetEnvironmentStringsW, IsValidCodePage, GetThreadTimes, GetOEMCP, GlobalCompact, GetConsoleMode, HeapReAlloc, WriteConsoleA, OpenFile, WritePrivateProfileSectionA, SetEnvironmentVariableA, FlushFileBuffers, LeaveCriticalSection, GetCPInfo, GetCurrentProcessId, GetThreadPriority, FindFirstFileExW, GetCommandLineW, HeapFree, GetTickCount, RtlUnwind, DeleteFiber, InterlockedExchange, GetPrivateProfileSectionW, EnumResourceLanguagesA, SetHandleCount, TlsFree, GetFileType, WriteConsoleOutputCharacterA, FreeEnvironmentStringsW, GetFileAttributesExA, lstrcpyn, LoadLibraryA, FindFirstFileExA, WideCharToMultiByte, GetACP, GetTimeFormatW, GetStringTypeA, SetLastError, GetDriveTypeA, WriteFile, Sleep, LCMapStringW, GetEnvironmentStrings, CompareStringW, GetUserDefaultLCID, TlsSetValue, FreeLibrary, GetLocaleInfoW, UnhandledExceptionFilter, GetStdHandle, GetProfileIntA, GetCurrentThread, SetStdHandle, GetModuleFileNameA, QueryPerformanceCounter, GetConsoleOutputCP, InterlockedIncrement, SetConsoleMode, VirtualQuery, FindResourceExA, GetStartupInfoW, FindFirstFileW, CreateWaitableTimerA, GetCurrentThreadId, InitializeCriticalSection, SetConsoleScreenBufferSize, LCMapStringA, GetModuleFileNameW, ReadConsoleOutputCharacterA, SetCurrentDirectoryW, SetFilePointer, FreeEnvironmentStringsA, GetModuleHandleA, GetTimeZoneInformation, TlsAlloc, CreateThread, GlobalUnlock, CreateFileA, GetLongPathNameW, GetConsoleCP, MultiByteToWideChar, VirtualAlloc, GetLastError, EnterCriticalSection, LoadResource, GetTimeFormatA, GetSystemTimeAsFileTime, CreateMutexA, ExitProcess, GetVersionExA, EnumCalendarInfoExA, IsValidLocale, GetProcessHeap, HeapSize, CompareFileTime, CompareStringA, TerminateProcess, LocalFlags, IsDebuggerPresent, GetDateFormatA, SetConsoleCtrlHandler, ReadFile, GetStartupInfoA, lstrcpyA, CloseHandle, GetSystemDefaultLCID, EnumSystemLocalesA, TlsGetValue, FindAtomW, VirtualFree, GetPrivateProfileIntW, GetLocaleInfoA, CreateMailslotW, GetProfileIntW, HeapCreate, GetWindowsDirectoryW, CreateEventA, MoveFileA, WriteConsoleW, IsBadWritePtr, GetCurrentDirectoryA, OpenMutexA, FlushConsoleInputBuffer, InterlockedDecrement, GetThreadLocale, GetStringTypeW, GetCommandLineA, EnumDateFormatsA, GetProcAddress, SetComputerNameW, HeapAlloc, GetFileSize, SetUnhandledExceptionFilter, DeleteCriticalSection, GetCurrentProcess, HeapDestroy > WININET.dll: RetrieveUrlCacheEntryStreamA, SetUrlCacheConfigInfoW, SetUrlCacheConfigInfoA, UpdateUrlCacheContentPath, InternetCombineUrlW > USER32.dll: SetRectEmpty, SetWindowsHookExA, GetKeyNameTextA, RegisterClassA, BlockInput, MonitorFromPoint, SetWindowPos, UnloadKeyboardLayout, GetMenuItemID, GetUserObjectSecurity, RegisterClassExA, InsertMenuW, WaitForInputIdle, ReuseDDElParam, SetWindowTextW, KillTimer, DdeQueryConvInfo, GetSysColor, SetScrollPos, EndDeferWindowPos, OffsetRect, DlgDirSelectComboBoxExW, OemToCharW |
|
| Themen zu Trojaner Virtumonde |
| ad-aware, add-on, antivirus, bho, computer, festplatte, firefox, google, helper, herzlichen dank, hijack, hijackthis, hkus\s-1-5-18, logfile, neues fenster, problem, security, server, siteadvisor, software, spyware, system, toolbars, trojaner, updates, viren, virtumonde, virus, windows, windows xp, windows xp sp3 |
Linear-Darstellung
