Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Vundo/Virtumonde (vermutlich)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.01.2009, 18:52   #16
john.doe
 
Vundo/Virtumonde (vermutlich) - Standard

Vundo/Virtumonde (vermutlich)



Also war sie an?

Alt 07.01.2009, 18:54   #17
bakeneko
 
Vundo/Virtumonde (vermutlich) - Standard

Vundo/Virtumonde (vermutlich)



Ich war mir sicher, sie wäre aus gewesen. Aber nu war sie an
__________________


Alt 07.01.2009, 19:05   #18
john.doe
 
Vundo/Virtumonde (vermutlich) - Standard

Vundo/Virtumonde (vermutlich)





Du kannst froh sein, dass ich gerade nicht neben dir sitze. Poste ein aktuelles HJT-Log.

ciao, andreas
__________________

Alt 07.01.2009, 19:16   #19
bakeneko
 
Vundo/Virtumonde (vermutlich) - Standard

Vundo/Virtumonde (vermutlich)



Ich glaub, ich bin grade froh darüber...obwohl ja so "hautnahe" Hilfe auch was für sich hat. Aber bitte nicht mehr hauen

Zum Hijack log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:00:52, on 07.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Dokumente und Einstellungen\***\Desktop\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hp://w.accoona.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mcrosoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hp://w.accoona.com/search?q=%s
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\QuickCam\eReg.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - hp://w..de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=hp://w.
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - hp://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 217.237.149.205 217.237.151
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: axlrsp.dll wtdhhh.dll qergrj.dll itbhyl.dll glezxi.dll qcrpie.dll ugtpei.dll gromqd.dll vpswlf.dll lceaff.dll dcfkxh.dll wzdgxc.dll slpilz.dll awengh.dll bldqdp.dll oyqtrx.dll pnugaj.dll tmeubo.dll nrohqz.dll xkcgcq.dll syswwb.dll quykcz.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll ejmdtq.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\***\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7122 bytes
         

Als Zwischemeldung: Start läuft schon wieder flüssig. Kommt nur ne Fehlermeldung, daß LogWatNT.exe nicht (richtig) gestartet werden konnte.
Pop-ups im net hatt ich jetzt auch keine und die falschen Verlinkungen unter google scheinen auch weg zu sein.

Alt 07.01.2009, 19:21   #20
john.doe
 
Vundo/Virtumonde (vermutlich) - Standard

Vundo/Virtumonde (vermutlich)



Zitat:
LogAtNT.exe
Kenne ich nicht, meinst du etwa Logwatnt.exe?

Der Rechner ist noch nicht sauber, lass ComboFix laufen.

ciao, andreas

p.s.: Bist du Franke?


Alt 07.01.2009, 19:23   #21
bakeneko
 
Vundo/Virtumonde (vermutlich) - Standard

Vundo/Virtumonde (vermutlich)



Ja...hatts dann grad noch mal editiert.^^

Also jetzt die ComboFix...nicht noch mal die anderen?

Alt 07.01.2009, 19:26   #22
john.doe
 
Vundo/Virtumonde (vermutlich) - Standard

Vundo/Virtumonde (vermutlich)



Kannst du gerne ganz zum Schluss noch einmal machen. Dürften allerdings nicht mehr allzuviel finden. Jetzt weiter in der Liste.

ciao, andreas

Alt 07.01.2009, 19:30   #23
bakeneko
 
Vundo/Virtumonde (vermutlich) - Standard

Vundo/Virtumonde (vermutlich)



Okies...obwohl mich ComboFix irgendwie leicht nervös macht. Keine Ahnung warum...

Alt 07.01.2009, 19:38   #24
john.doe
 
Vundo/Virtumonde (vermutlich) - Standard

Vundo/Virtumonde (vermutlich)



Halte dich diesmal genau an die Anleitung, dann kann nichts schiefgehen.

ciao, andreas

Alt 07.01.2009, 20:18   #25
bakeneko
 
Vundo/Virtumonde (vermutlich) - Standard

Vundo/Virtumonde (vermutlich)



Hab ich nach bestem Gewissen gemacht

Hier die log:

Code:
ATTFilter
ComboFix 09-01-07.01 - sebastian 2009-01-07 18:45:33.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.511.200 [GMT 1:00]
ausgef³hrt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe c:\dokumente und einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Bank.dll
c:\windows\system32\exqgdqge.ini
c:\windows\system32\hbytkylr.dll
c:\windows\system32\juugleqv.ini
c:\windows\system32\npucerrg.dll
c:\windows\system32\osfwptsc.dll
c:\windows\system32\rffnanrc.ini
c:\windows\system32\rgwdjkan.ini
c:\windows\system32\swjwgrjj.ini
c:\windows\system32\umuqmbkc.ini
c:\windows\system32\winpfd.exe
c:\windows\winhelp.ini

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SERVICE_CONTROL_APPLICATION
-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys


(((((((((((((((((((((((   Dateien erstellt von 2008-12-07 bis 2009-01-07  ))))))))))))))))))))))))))))))
.

2009-01-07 16:22 . 2009-01-07 16:22	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-06 19:26 . 2009-01-06 19:26	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-01-06 19:03 . 2009-01-07 18:48	2,774,048	--ahs----	c:\windows\system32\drivers\fidbox.dat
2009-01-06 19:03 . 2009-01-07 18:48	352,288	--ahs----	c:\windows\system32\drivers\fidbox2.dat
2009-01-06 19:03 . 2009-01-07 18:48	23,800	--ahs----	c:\windows\system32\drivers\fidbox.idx
2009-01-06 19:03 . 2009-01-07 18:48	2,284	--ahs----	c:\windows\system32\drivers\fidbox2.idx
2009-01-06 10:01 . 2009-01-07 12:01	96,976	--a------	c:\windows\system32\drivers\klin.dat
2009-01-06 10:01 . 2009-01-07 12:01	87,855	--a------	c:\windows\system32\drivers\klick.dat
2009-01-06 09:56 . 2009-01-06 09:56	<DIR>	d--------	c:\programme\Kaspersky Lab
2009-01-06 09:56 . 2009-01-07 18:51	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-01-05 15:33 . 2009-01-05 15:32	410,984	--a------	c:\windows\system32\deploytk.dll
2009-01-05 08:43 . 2009-01-05 08:43	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\Symantec
2009-01-05 08:33 . 2009-01-06 09:51	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-01-05 08:20 . 2009-01-05 08:43	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\BitTorrent
2009-01-05 08:08 . 2009-01-05 08:09	<DIR>	d--------	c:\programme\CCleaner
2009-01-01 14:16 . 2009-01-01 16:06	<DIR>	d-a------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-12-28 14:38 . 2008-12-28 14:38	54,156	--ah-----	c:\windows\QTFont.qfn
2008-12-28 14:38 . 2008-12-28 14:38	1,409	--a------	c:\windows\QTFont.for
2008-12-24 17:48 . 2009-01-01 12:01	<DIR>	d--------	c:\programme\RogueRemover FREE
2008-12-19 15:56 . 2008-12-19 15:56	<DIR>	d--------	c:\programme\InCode Solutions
2008-12-19 15:55 . 2008-12-19 15:55	<DIR>	d--------	c:\programme\SUPERAntiSpyware
2008-12-19 15:55 . 2008-12-19 15:55	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2008-12-17 14:24 . 2008-12-17 14:24	<DIR>	d--------	c:\programme\IObit
2008-12-17 14:18 . 2009-01-05 15:32	73,728	--a------	c:\windows\system32\javacpl.cpl
2008-12-17 13:00 . 2004-02-03 19:32	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Vorlagen
2008-12-17 13:00 . 2004-02-04 02:05	<DIR>	d---s----	c:\dokumente und einstellungen\Administrator\UserData
2008-12-17 13:00 . 2004-02-03 19:29	<DIR>	dr-------	c:\dokumente und einstellungen\Administrator\Startmenü
2008-12-17 13:00 . 2004-02-03 19:29	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2008-12-17 13:00 . 2009-01-07 18:47	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2008-12-17 13:00 . 2004-02-04 08:21	<DIR>	dr-------	c:\dokumente und einstellungen\Administrator\Favoriten
2008-12-17 13:00 . 2004-02-19 23:44	<DIR>	dr-------	c:\dokumente und einstellungen\Administrator\Eigene Dateien
2008-12-17 13:00 . 2004-02-03 19:29	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Druckumgebung
2008-12-17 13:00 . 2004-02-07 16:35	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Cyberlink
2008-12-17 13:00 . 2004-02-06 10:33	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ahead
2008-12-17 13:00 . 2004-02-04 02:52	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AdobeUM
2008-12-17 13:00 . 2004-02-07 16:14	<DIR>	dr-h-----	c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2008-12-17 13:00 . 2004-02-19 23:43	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\%username%
2008-12-17 13:00 . 2008-12-17 13:00	<DIR>	d--------	c:\dokumente und einstellungen\Administrator
2008-12-17 11:30 . 2009-01-04 18:38	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-12-17 11:29 . 2009-01-06 19:26	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-17 11:29 . 2008-12-17 11:29	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-17 11:29 . 2009-01-04 18:38	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-17 10:30 . 2008-12-17 10:30	<DIR>	d--------	C:\VundoFix Backups
2008-12-16 12:14 . 2009-01-01 14:58	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-12-16 12:12 . 2009-01-01 14:57	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-12-16 10:42 . 2008-12-28 08:23	<DIR>	d--------	c:\programme\Desktop Screen Record 5

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-07 17:53	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-01-07 17:49	0	----a-w	c:\windows\system32\drivers\lvuvc.hs
2009-01-07 17:49	0	----a-w	c:\windows\system32\drivers\logiflt.iad
2009-01-07 16:59	---------	d-----w	c:\programme\Eraser
2009-01-07 16:54	13,440	----a-w	c:\windows\system32\drivers\USBCRFT.SYS
2009-01-07 16:28	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-01-07 16:19	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\BitTorrent
2009-01-07 05:24	14,584	----a-w	c:\dokumente und einstellungen\***\Anwendungsdaten\wklnhst.dat
2009-01-05 14:31	---------	d-----w	c:\programme\Java
2009-01-05 07:56	---------	d-----w	c:\programme\Gemeinsame Dateien\Symantec Shared
2009-01-05 07:45	---------	d-----w	c:\programme\CA
2009-01-05 07:43	---------	d-----w	c:\programme\Symantec
2009-01-05 07:43	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-01-04 18:44	---------	d-----w	c:\programme\Google
2009-01-03 17:35	25,678	----a-w	c:\dokumente und einstellungen\***\Anwendungsdaten\wklnhst.dat
2009-01-01 15:08	---------	d-----w	c:\programme\Uniblue
2009-01-01 15:08	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue
2009-01-01 13:58	---------	d-----w	c:\programme\Lavasoft
2008-12-30 17:37	---------	d-----w	c:\programme\Spybot - Search & Destroy
2008-12-30 17:28	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-22 12:35	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\MSN6
2008-12-22 06:11	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\DNA
2008-12-20 12:56	---------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2008-12-19 15:04	---------	d-----w	c:\programme\DNA
2008-12-02 12:35	---------	d-----w	c:\programme\BitTorrent
2008-11-29 10:39	---------	d-----w	c:\programme\Windows Media Connect 2
2008-11-16 14:26	---------	d-----w	c:\programme\Gemeinsame Dateien\LogiShrd
2008-11-16 14:23	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd
2008-11-16 14:22	---------	d-----w	c:\programme\Logitech
2008-11-05 19:12	11,976,319	----a-w	c:\programme\PROCESSLIST.DB
2008-11-05 19:11	1,073,147	----a-w	c:\programme\PROCESSLISTRELATED.DB
2007-12-25 16:51	92,352	----a-w	c:\dokumente und einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2000-01-25 21:50	173,352	----a-w	c:\dokumente und einstellungen\***\DrgnLord.exe
2000-01-09 08:59	968,704	----a-w	c:\dokumente und einstellungen\***\Dirapi.dll
2000-01-09 08:59	394,240	----a-w	c:\dokumente und einstellungen\***\Iml32.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="c:\programme\Eraser\eraser.exe" [2003-07-25 536576]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-05-30 21718312]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-17 185896]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2003-10-23 233472]
"DeviceDiscovery"="c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 229437]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-05 136600]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-17 185896]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-04-25 201992]
"Dit"="Dit.exe" [2003-12-29 c:\windows\Dit.exe]
"CHotkey"="mHotkey.exe" [2004-02-05 c:\windows\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-02-03 c:\windows\CNYHKey.exe]
"Prism_Utility"="Prismsta.exe" [2004-01-14 c:\windows\system32\PRISMSTA.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
"MySpaceIM"="c:\programme\MySpace\IM\MySpaceIM.exe" [2007-05-30 5419008]

c:\dokumente und einstellungen\sebastian\Startmen\Programme\Autostart\
Logitech . Produktregistrierung.lnk - c:\programme\Logitech\QuickCam\eReg.exe [2008-02-13 493832]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Kodak EasyShare Software.lnk - c:\programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2004-08-11 757760]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.VP40"= vp4vfw.dll
"vidc.VP50"= vp5vfw.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MicroSoft Remote Secure Service"=MSRSS.exe
"snapple"=snapple.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"MicroSoft Remote Secure Service"=MSRSS.exe
"NT Service"=ntoksrnl.exe
"snapple"=snapple.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"MicroSoft Remote Secure Service"=MSRSS.exe
"NT Service"=ntoksrnl.exe
"snapple"=snapple.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Lavasoft\\Ad-Aware SE Personal\\Ad-Aware.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
"17093:TCP"= 17093:TCP:BitComet 17093 TCP
"17093:UDP"= 17093:UDP:BitComet 17093 UDP

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2008-09-03 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2008-09-03 55024]
R3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [2004-02-04 13440]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-03-25 24592]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [2004-02-03 24704]
R3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [2004-02-03 380736]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2008-09-03 7408]
R3 UKBFLT;UKBFLT;c:\windows\system32\drivers\UKBFLT.sys [2004-02-06 11672]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [2004-02-04 19928]
S3 CA_LIC_CLNT;CA-Lizenz-Client;c:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;c:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 77824]
S3 IIUSBISP;USB Mass Storage for USB ISP;c:\windows\system32\Drivers\iiusbisp.sys --> c:\windows\system32\Drivers\iiusbisp.sys [?]
S3 TNPacket;T-Systems Nova Packet Capture Driver;c:\programme\T-DSL SpeedManager\TNPACKET.SYS [2004-03-11 9696]
S4 LogWatch;Ereignisprotokoll-Überwachung;c:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 53248]
.
Inhalt des "geplante Tasks" Ordners

2009-01-02 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2004\SystemOptimizer.exe []

2009-01-02 c:\windows\Tasks\Norton Security Scan.job
- c:\programme\Norton Security Scan\Nss.exe [2007-04-19 21:42]

2005-02-18 c:\windows\Tasks\Symantec NetDetect.job
- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2003-09-09 13:36]

2008-12-21 c:\windows\Tasks\Uniblue SpeedUpMyPC Nag.job
- c:\programme\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe []

2008-07-14 c:\windows\Tasks\Uniblue SpeedUpMyPC.job
- c:\programme\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-MicroSoft Remote Secure Service - MSRSS.exe


.
------- Zusätzlicher Suchlauf -------
.
uSearchURL,(Default) = hxxp://www.accoona.com/search?q=%s
TCP: {AE60CE46-C8A7-4F46-9B82-19496EE1E875} = 217.237.149.205 217.237.151.51

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FF - ProfilePath - c:\dokumente und einstellungen\sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\wl4hf39b.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\np32dsw.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npaudio.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npavi32.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\NPBeatSP.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npdrmv2.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npdsplay.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npkit32.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\NPlwf32.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npnul32.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\nppl3260.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npqtplugin.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npqtplugin2.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npqtplugin3.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npqtplugin4.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npqtplugin5.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npqtplugin6.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\nprfxins.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\nprjplug.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\nprpjplug.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npwmp32.dll
FF - plugin: c:\progra~1\Netscape\COMMUN~1\Program\Plugins\npwmsdrm.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\np32dsw.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npaudio.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npavi32.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\NPBeatSP.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npdrmv2.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npdsplay.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npkit32.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\NPlwf32.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npnul32.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\nppl3260.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npqtplugin.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npqtplugin2.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npqtplugin3.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npqtplugin4.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npqtplugin5.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npqtplugin6.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\nprfxins.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\nprjplug.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\nprpjplug.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\NPSWF32.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npwmp32.dll
FF - plugin: c:\programme\Netscape\Communicator\Program\Plugins\npwmsdrm.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-07 18:50:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\0.log 0 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1148)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\klogon.dll

- - - - - - - > 'explorer.exe'(7376)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\scardsvr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
c:\programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-07 19:03:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-01-07 18:02:48

Vor Suchlauf: 21 Verzeichnis(se), 21.449.150.464 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 21,990,850,560 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

320	--- E O F ---	2008-12-13 07:17:53
         

Alt 07.01.2009, 20:29   #26
bakeneko
 
Vundo/Virtumonde (vermutlich) - Standard

Vundo/Virtumonde (vermutlich)



Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:07, on 07.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\Eraser\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hp://w.accoona.com/search?q=%s
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Programme\Logitech\QuickCam\eReg.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www./ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=hp://w
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\***\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6773 bytes
         

Alt 07.01.2009, 21:07   #27
john.doe
 
Vundo/Virtumonde (vermutlich) - Standard

Vundo/Virtumonde (vermutlich)



Mein Reden, 9 Vundos, die die anderen nicht gefunden haben, sowie 3 weitere Dateien. Das mit den 5 Tagen nehm ich dir nicht so richtig ab.

Lies mal diesen hier:
http://www.trojaner-board.de/67943-i...ter-virus.html

Da ist ein Vater, dessen Tochter ihm ein Ei ins Nest gelegt hat. Er weiß vermutlich nicht einmal, was P2P und Filesharing ist. Deshalb habe ich ihm einen längeren Artikel geschrieben. Der ist im Augenblick ganz hinten. Lies ihn bitte.

Dann schauen wir doch einmal genauer hin:
Code:
ATTFilter
2008-12-02 12:35	---------	d-----w	c:\programme\BitTorrent
         
Der Auslöser für deine Probleme.

Ab hier beginnen die Reparaturversuche:
Code:
ATTFilter
2008-12-17 10:30 . 2008-12-17 10:30	<DIR>	d--------	C:\VundoFix Backups
2008-12-17 11:29 . 2009-01-06 19:26	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-19 15:55 . 2008-12-19 15:55	<DIR>	d--------	c:\programme\SUPERAntiSpyware
2008-12-24 17:48 . 2009-01-01 12:01	<DIR>	d--------	c:\programme\RogueRemover FREE
2008-12-30 17:37	---------	d-----w	c:\programme\Spybot - Search & Destroy
2009-01-05 07:43	---------	d-----w	c:\programme\Symantec
2009-01-05 07:45	---------	d-----w	c:\programme\CA
2009-01-06 09:56 . 2009-01-06 09:56	<DIR>	d--------	c:\programme\Kaspersky Lab
         
Die Programme waren schon richtig. Du hättest nur die Systemwiederherstellung ausschalten sollen.

1.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
O4 - HKCU\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www./ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=hp://w
         
=> Fix checked

2.) Deinstalliere:
Code:
ATTFilter
SuperAntiSpyware
Acrobat Reader (veraltet)
Uniblue (Schrott)
BitTorrent (für dich zu gefährlich)
         
3.) Installiere:
Downloaddetails: Windows XP Service Pack 3
Foxit Software

4.) Start => Ausführen => combofix /u => OK

Gibt es noch Probleme?

ciao, andreas

Alt 07.01.2009, 21:17   #28
bakeneko
 
Vundo/Virtumonde (vermutlich) - Standard

Vundo/Virtumonde (vermutlich)



Aye, aye, Kommandant

Erkennbare Probleme gabs schon länger nicht mehr.
Besten Dank

Antwort

Themen zu Vundo/Virtumonde (vermutlich)
.dll, ad-aware, adobe, dateien, dll, einstellungen, eraser, explorer.exe, firefox, format, hkus\s-1-5-18, internet explorer, kaspersky, microsoft, monitor, mozilla, msn, pop-ups, programme, rundll, schutz, seiten, skype.exe, system, temp, windows, windows xp



Ähnliche Themen: Vundo/Virtumonde (vermutlich)


  1. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  2. Hilfe!! Monder.Acia oder Vundo 129024 oder Virtumonde auf dem PC gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.12.2008 (0)
  3. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  4. Virtumonde / Vundo
    Log-Analyse und Auswertung - 30.09.2008 (1)
  5. Virtumonde / Vundo
    Mülltonne - 30.09.2008 (0)
  6. Virtumonde und Vundo problem auf XP Pro
    Plagegeister aller Art und deren Bekämpfung - 23.09.2008 (8)
  7. Virtumonde und Vundo Problem, Hilfe!
    Mülltonne - 21.09.2008 (0)
  8. Reste von Vundo/Virtumonde auf der Platte!
    Plagegeister aller Art und deren Bekämpfung - 31.08.2008 (2)
  9. Trojaner WinFixer / Virtumonde / Msevents / Trojan.vundo entfernen
    Plagegeister aller Art und deren Bekämpfung - 20.08.2008 (2)
  10. Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig
    Log-Analyse und Auswertung - 17.07.2008 (9)
  11. Trojaner Lowzone, Vundo, Virtumonde Maleware
    Log-Analyse und Auswertung - 02.06.2008 (13)
  12. Vermutlich Vundo.Gen
    Log-Analyse und Auswertung - 06.04.2008 (1)
  13. Vermutlich Zlob und/oder Virtumonde brauche Hilfe
    Plagegeister aller Art und deren Bekämpfung - 28.03.2008 (12)
  14. Virtumonde/Trojaner "Vundo" [Benötige Hilfe]
    Plagegeister aller Art und deren Bekämpfung - 27.03.2008 (23)
  15. virenbefall, vermutlich virtumonde
    Plagegeister aller Art und deren Bekämpfung - 19.03.2008 (2)
  16. [vundo-/VirtuMonde-erkältung] status: vundofix, combofix
    Log-Analyse und Auswertung - 17.02.2008 (1)
  17. Verschiedene Trojaner um vundo und virtumonde
    Plagegeister aller Art und deren Bekämpfung - 09.07.2007 (5)

Zum Thema Vundo/Virtumonde (vermutlich) - Also war sie an? - Vundo/Virtumonde (vermutlich)...
Archiv
Du betrachtest: Vundo/Virtumonde (vermutlich) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.