Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.01.2009, 08:17   #1
stanman
 
Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile) - Standard

Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile)



Hi, habe seit gestern die ganze zeit pop-ups, und möchtegerninstallationssachen(virusremover2008) die ganze zeit auftauchen.. habe es mehrmals mit Antivira und Ad aware gescannt.. Anfangs wurden mehrmals viren gemeldet, aber jetzt meldet nur noch ad aware das ich virtumonde habe. Dazu hängt mein firefox jetzt regelmäßig, und es dauert auch länger bis mein computer befehle ausübt. Habe daraufhin ein Hijack This logfile erstellt.. kann mir jemand helfen und erklären was ich jetzt am besten tun kann?
Danke


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:10:38 AM, on 1/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe
D:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 91.121.176.104:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {61780E09-78DB-494D-B054-02D03637C49C} - C:\WINDOWS\system32\qoMggecc.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\byXqpmli.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: {ef298620-34db-8d79-9ef4-30be5b98b89e} - {e98b89b5-eb03-4fe9-97d8-bd43026892fe} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-57989841-1580818891-839522115-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'abc')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - h**p://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - h**p://hotel-riederfurka.axiscam.net/activex/AMC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1C1AA04-4A04-45EC-9E02-27C4455A5488}: NameServer = 212.19.48.14
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: rqbvzh.dll
O20 - Winlogon Notify: byXqpmli - byXqpmli.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6448 bytes

Geändert von stanman (11.01.2009 um 08:28 Uhr)

Alt 11.01.2009, 10:32   #2
john.doe
 
Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile) - Standard

Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile)



Hallo und

Arbeite diese Liste ab:

1.) Deinstalliere folgende Programme (Start=>Systemsteuerung=>Programme):
Code:
ATTFilter
AdAware (Schrott)
Java (veraltet)
Acrobat Reader (veraltet)
Google Toolbar (Datenkrake)
BitComet (Virenschleuder)
Spybot (Schrott)
         
2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\rqbvzh.dll
         
Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren.

3.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 91.121.176.104:80
O2 - BHO: (no name) - {61780E09-78DB-494D-B054-02D03637C49C} - C:\WINDOWS\system32\qoMggecc.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\byXqpmli.dll (file missing)
O2 - BHO: {ef298620-34db-8d79-9ef4-30be5b98b89e} - {e98b89b5-eb03-4fe9-97d8-bd43026892fe} - (no file)
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dl l/206 (file missing)
O20 - AppInit_DLLs: rqbvzh.dll
O20 - Winlogon Notify: byXqpmli - byXqpmli.dll (file missing)
         
=> Fix checked

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
4.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

5.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

6.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas
__________________


Alt 11.01.2009, 16:44   #3
stanman
 
Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile) - Standard

Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile)



Hi, also zu punkt 1..
Den Acrobat reader und die Google toolbar habe ich nicht installiert. Hatte einen ordner der Googletoolbarnotifier heißt, habe den dan aber mit komplettem inhalt gelöscht. Vom Acrobat reader habe ich gar nichts aufm rechner(auch nach suche nichts gefunden).
Zu punkt 2
Und die datei rqbvzh.dll finde ich nicht. Habe alle dateien anzeigen lassen wie beschrieben, aber finde die datei auch mit der suche nicht.
Was soll ich jetzt machen?
Danke
__________________

Alt 11.01.2009, 16:59   #4
john.doe
 
Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile) - Standard

Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile)



Zitat:
Vom Acrobat reader habe ich gar nichts aufm rechner
Mein Fehler.
Zitat:
Und die datei rqbvzh.dll finde ich nicht
Macht nichts.
Zitat:
Was soll ich jetzt machen?
Weiter mit Punkt 3 und dann die ganze Liste bis zum Schluß.

ciao, andreas

Alt 12.01.2009, 04:29   #5
stanman
 
Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile) - Standard

Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile)



Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:22:22 PM, on 1/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\ICQ6.5\ICQ.exe
C:\Dokumente und Einstellungen\*\Desktop\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://hotel-riederfurka.axiscam.net/activex/AMC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1C1AA04-4A04-45EC-9E02-27C4455A5488}: NameServer = 212.19.48.14
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 4466 bytes
         
blacklight:
Code:
ATTFilter
01/11/09 21:24:38 [Info]: BlackLight Engine 2.2.1092 initialized
01/11/09 21:24:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/11/09 21:24:38 [Note]: 7019 4
01/11/09 21:24:38 [Note]: 7005 0
01/11/09 21:24:40 [Note]: 7006 0
01/11/09 21:24:40 [Note]: 7011 192
01/11/09 21:24:40 [Note]: 7035 0
01/11/09 21:24:40 [Note]: 7026 0
01/11/09 21:24:40 [Note]: 7026 0
01/11/09 21:24:41 [Note]: FSRAW library version 1.7.1024
01/11/09 21:26:43 [Note]: 2000 1012
01/11/09 21:26:43 [Note]: 2000 1012
01/11/09 21:29:46 [Note]: 7007 0
         
antimalware:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1643
Windows 5.1.2600 Service Pack 2

1/11/2009 12:21:10 PM
mbam-log-2009-01-11 (12-21-10).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 100845
Laufzeit: 39 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\msfss.sys (Rootkit.Agent.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\winsinstall.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekacdctvppj.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\senekatxindvxo.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekadf.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\seneka.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekalog.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\seneka.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\senekadlgsxoxd.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUlMgFv.dll (Trojan.vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\core.cache.dsk (Rootkit.Agent) -> Delete on reboot.
         
Superantispyware:

Code:
ATTFilter
 SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/11/2009 at 10:24 PM

Application Version : 4.24.1004

Core Rules Database Version : 3705
Trace Rules Database Version: 1680

Scan type       : Complete Scan
Total Scan Time : 00:49:57

Memory items scanned      : 421
Memory threats detected   : 0
Registry items scanned    : 4828
Registry threats detected : 0
File items scanned        : 54158
File threats detected     : 3

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\*\Cookies\***@atdmt[2].txt
	C:\Dokumente und Einstellungen\*\Cookies\***@atwola[1].txt
	C:\Dokumente und Einstellungen\*\Cookies\***@adtech[2].txt
         
HiJackThis mit der umbenannten:
Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:26:47 PM, on 1/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Stan\Desktop\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://hotel-riederfurka.axiscam.net/activex/AMC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1C1AA04-4A04-45EC-9E02-27C4455A5488}: NameServer = 212.19.48.14
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 4575 bytes
         


Alt 12.01.2009, 16:24   #6
john.doe
 
Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile) - Standard

Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile)



Log ist sauber. Zeigt der Rechner noch Auffälligkeiten?

Fixen:
Code:
ATTFilter
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll (file missing)
         
Alle Programme, die wir im Laufe der Aktion eingesetzt haben, können deinstalliert/gelöscht werden.

Aktuelles Java gibt es hier: Download der Java-Software von Sun Microsystems
Statt Acrobat empfehle ich Foxit: Foxit Software

ciao, andreas

Alt 13.01.2009, 12:38   #7
stanman
 
Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile) - Standard

Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile)



Also eigentlich läuft der jetzt wieder ganz normal!
Nur bei flash elementen auf internetseiten bleibt mein browser immermal hängen.
Danke!

Alt 13.01.2009, 16:19   #8
john.doe
 
Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile) - Standard

Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile)



Deinstalliere (Start=>Systemsteuerung=>Software) alles, was mit Flash zu tun hat. Schaue auch bei Firefox bei den installierten Modulen nach und entferne alles, das Flash heisst.

Installiere die aktuelle Version: Adobe Flash Player

ciao, andreas

Antwort

Themen zu Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile)
ad aware, ad-aware, avira, bho, browser, computer, explorer, firefox, google, hijack, hijack this, hijackthis, hijackthis logfile, hkus\s-1-5-18, hängt, internet, internet explorer, langsam, logfile, mozilla, object, software, system, viren, virtumonde, windows, windows xp



Ähnliche Themen: Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile)


  1. Majwarebytes & Kaspersky finden nichts, Computer super langsam sobald Browser oder Explorer geöffnet ist
    Log-Analyse und Auswertung - 21.08.2015 (3)
  2. Windows 7 Google Chrome Browser sehr langsam Bilder werden langsam geladen
    Log-Analyse und Auswertung - 03.02.2015 (15)
  3. Rechner langsam, Hijackthis Logfile
    Log-Analyse und Auswertung - 11.02.2010 (1)
  4. Bitte um Hijackthis-Logfile-Auswertung! Internet sehr langsam!
    Log-Analyse und Auswertung - 04.09.2009 (3)
  5. Internet sehr langsam - HijackThis Logfile
    Log-Analyse und Auswertung - 03.08.2009 (19)
  6. Hijackthis Logfile Auswerten; Browser Hijacking?
    Mülltonne - 02.01.2009 (0)
  7. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  8. Virtumonde, Internet sehr langsam
    Log-Analyse und Auswertung - 24.10.2008 (0)
  9. Computer läd langsam, komischer Eintrag bei HijackThis
    Log-Analyse und Auswertung - 13.09.2008 (0)
  10. Virtumonde mal wieder ! combifix und hijackthis durchgeführt
    Mülltonne - 20.08.2008 (0)
  11. Virtumonde - HiJackThis Log File
    Log-Analyse und Auswertung - 01.07.2008 (12)
  12. bitte Hijackthis anschauen - Virtumonde eingefangen
    Log-Analyse und Auswertung - 03.02.2008 (0)
  13. Computer langsam eworden bitte Logfile checken
    Log-Analyse und Auswertung - 09.01.2008 (6)
  14. Ständige Pop UPS, auch im Mozilla Browser. -> HijackThis Logfile
    Log-Analyse und Auswertung - 28.11.2007 (2)
  15. Computer ist sehr langsam...speziel wenn ich meinen browser (Firefox) öffne
    Log-Analyse und Auswertung - 22.07.2007 (1)
  16. HiJackThis LogFile, Browser langsam
    Log-Analyse und Auswertung - 08.01.2007 (3)
  17. Hijackthis Log - Hilfe !!! Browser langsam!!!
    Log-Analyse und Auswertung - 13.05.2006 (2)

Zum Thema Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile) - Hi, habe seit gestern die ganze zeit pop-ups, und möchtegerninstallationssachen(virusremover2008) die ganze zeit auftauchen.. habe es mehrmals mit Antivira und Ad aware gescannt.. Anfangs wurden mehrmals viren gemeldet, aber jetzt - Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile)...
Archiv
Du betrachtest: Virtumonde, pop-ups.. browser und computer langsam(Hijackthis logfile) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.