Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virtumonde

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.01.2009, 22:40   #1
steveman
 

Virtumonde - Standard

Virtumonde



Hi, hatte Virtumone auf dem PC und hab mit Spybot und Ad-Aware alles entfernt was sie diesbezüglich gefunden haben.

Könnt ihr noch mein LogFile von HijackThis checken?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:10, on 18.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\HP DVD\Umbrella\DVDTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\BOINC\boinctray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\AIRPLUS\D-Link AirPlus DWL-120+ Wireless USB Adapter\AIRPLUS.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Java\jre6\bin\java.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {472F7296-0836-418B-8010-2C2BB344EF88} - C:\WINDOWS\system32\tuvSiiFU.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {A4D13F30-55A5-49BB-8B90-2A71EA9673A9} - C:\WINDOWS\system32\tuvUNfeD.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: {dbd31477-76e9-daf9-7674-b0c35e0f1b3b} - {b3b1f0e5-3c0b-4767-9fad-9e6777413dbd} - C:\WINDOWS\system32\drstex.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDTray] "C:\Programme\HP DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [boinctray] "C:\Programme\BOINC\boinctray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingC1429] cmd /c del "C:\WINDOWS\system32\tuvSiiFU.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5475] cmd /c del "C:\WINDOWS\system32\xqqvwiax.dll_old"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB3391] command /c del "C:\WINDOWS\system32\tuvSiiFU.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9336] cmd /c del "C:\WINDOWS\system32\tuvSiiFU.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2402] command /c del "C:\WINDOWS\system32\xqqvwiax.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1712] cmd /c del "C:\WINDOWS\system32\xqqvwiax.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BOINC Manager.lnk = C:\Programme\BOINC\boincmgr.exe
O4 - Global Startup: D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk = ?
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A62F8B6-5B0E-4690-93EF-93B4D1536C42}: NameServer = 212.77.160.129,212.77.161.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A62F8B6-5B0E-4690-93EF-93B4D1536C42}: NameServer = 212.77.160.129,212.77.161.100
O20 - AppInit_DLLs: drstex.dll
O20 - Winlogon Notify: tuvUNfeD - C:\WINDOWS\SYSTEM32\tuvUNfeD.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BOINC - Space Sciences Laboratory - C:\Programme\BOINC\boinc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11192 bytes

Alt 19.01.2009, 13:43   #2
undoreal
/// AVZ-Toolkit Guru
 
Virtumonde - Standard

Virtumonde



Halli hallo steveman

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
    Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
    .
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Installation des aktuellen ServicePacks:.
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:.
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume mit cCleaner auf; Punkte 1&2.
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista




ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Überprüfe den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.

Poste danach ein frisches HJT log.
__________________

__________________

Alt 19.01.2009, 17:39   #3
steveman
 

Virtumonde - Standard

Virtumonde



Ich kan Super Antimaleware und Malewarebytes nicht laden. Bekomme keine Verbindung zur jeweiligen Homepage.
Mit dem Firefox und IE nicht. Blockiert Virtumonde da etwas?
__________________

Alt 19.01.2009, 17:54   #4
undoreal
/// AVZ-Toolkit Guru
 
Virtumonde - Standard

Virtumonde



Das kann Vundo nicht. Da sitzt noch mehr im System.

Ist auch aus dem log ersichtlich..

Dann anders.


Panda AntiRootkit

  • Lade dir bitte Panda's AntiRootkit.zip und entpacke es auf dem Desktop.
  • Starte die PAVARK.exe durch einen Doppelklick.
  • Setze für die Option In-depth Scan ein Häkchen. Der Rechner muss danach neugestartet werden damit ein Treiber installiert werden kann.
  • Starte den Scan nach dem Neustarte mit einem Klick auf Scan starten.
  • Sollten Rootkits gefunden worden sein werden sie dir im zweiten Schritt aufgelistet. Es ist unbedingt notwendig, dass wir diese Informationen erhalten!
    Kopiere bzw. tippe sie also entweder ab oder erstelle einen Screenshot und stelle uns diesen zur Verfügung.
  • Bereinige die Funde anschließend!



Blacklight


Scanne den Rechner danach zusätzlich mit Blacklight und poste das log! (C:\fsbl.log)
Evtl. Funde lasse bitte ebenfalls beheben/umbennen.


GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Doppelklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.


Wenn alle drei nicht laufen dann machen wir's noch anders..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 19.01.2009, 17:56   #5
nthaifisch
 
Virtumonde - Standard

Virtumonde



Hallo Stevemann,

versuche es doch mal im abgesicherten Modus mit Netzwerktreibern zu laden.

Ich musste mich am Wochenend auch mit Virtumonde herumschlagen und hoffe das die Spezis sich mein Logfile von Hijack anschauen und mir bestätigen können das es weg ist.

Ich habe nicht versucht Malwarebyte und Antimal im normalen Modus zu laden, sondern es direkt im abgesicherten Modus runtergeladen.

Das hat bei mir wunderbar geklappt.

Grüße

nthaifisch


Alt 19.01.2009, 18:21   #6
steveman
 

Virtumonde - Standard

Virtumonde



Bin gerade im Abgesichterten Modus und die drei vorgeschlagen Anti Roots funktionieren auch nicht. Keine Verbindung zu den Seiten.

Ah ich dreh gleich durch.

Alt 19.01.2009, 18:23   #7
undoreal
/// AVZ-Toolkit Guru
 
Virtumonde - Standard

Virtumonde



Nicht durchdrehen!

Ist alles halb so wild. Damit haben wir hier ständig zu tun.
Abgesicherter bringt überhaupt nichts...
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 19.01.2009, 18:25   #8
steveman
 

Virtumonde - Standard

Virtumonde



Ok was muss ich tun wenn ich wieder im normalen Modus bin?

Alt 19.01.2009, 19:28   #9
steveman
 

Virtumonde - Standard

Virtumonde



Ich konnte ComboFix doch irgendwie laden und habs mal durchlaufen lassen, hier das Log:

Code:
ATTFilter
ComboFix 09-01-19.01 - Steve 2009-01-19 19:13:10.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.767.448 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Steve\Desktop\cf.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Outdated)
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Spyware Guard 2009
c:\programme\Spyware Guard 2009\conf.cfg
c:\programme\Spyware Guard 2009\mbase.vdb
c:\programme\Spyware Guard 2009\quarantine.vdb
c:\programme\Spyware Guard 2009\queue.vdb
c:\programme\Spyware Guard 2009\spywareguard.exe
c:\programme\Spyware Guard 2009\uninstall.exe
c:\programme\Spyware Guard 2009\vbase.vdb
c:\windows\reged.exe
c:\windows\spoolsystem.exe
c:\windows\sys.com
c:\windows\syscert.exe
c:\windows\sysexplorer.exe
c:\windows\system32\aeosybbr.ini
c:\windows\system32\ccjuyyrw.dll
c:\windows\system32\ccpkqa.dll
c:\windows\system32\drivers\TDSSpaxt.sys
c:\windows\system32\drstex.dll
c:\windows\system32\dxlomy.dll
c:\windows\system32\kodbglnq.dll
c:\windows\system32\ljJyaawv.dll
c:\windows\system32\qtieuugv.dll
c:\windows\system32\rbbysoea.dll
c:\windows\system32\TDSScfum.dll
c:\windows\system32\TDSSfxwp.dll
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSnrsr.dll
c:\windows\system32\TDSSofxh.dll
c:\windows\system32\TDSSosvd.dat
c:\windows\system32\TDSSrhym.log
c:\windows\system32\TDSSriqp.dll
c:\windows\system32\TDSSsbhc.dll
c:\windows\system32\TDSStkdv.log
c:\windows\system32\tuvUNfeD.dll
c:\windows\system32\UFiiSvut.ini
c:\windows\system32\UFiiSvut.ini2
c:\windows\system32\vguueitq.ini
c:\windows\system32\winscenter.exe
c:\windows\system32\xaiwvqqx.ini
c:\windows\system32\xEMTwyxx.ini
c:\windows\system32\xEMTwyxx.ini2
c:\windows\system32\xxywTMEx.dll
c:\windows\system32\ymyjfvqk.dll
c:\windows\vmreg.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys


(((((((((((((((((((((((   Dateien erstellt von 2008-12-19 bis 2009-01-19  ))))))))))))))))))))))))))))))
.

2009-01-19 18:33 . 2009-01-19 18:33	664	--a------	c:\windows\system32\d3d9caps.dat
2009-01-18 23:39 . 2009-01-18 23:39	184,832	--a------	c:\windows\system32\wgivxfdw.exe
2009-01-18 20:36 . 2009-01-18 20:36	153	--a------	c:\windows\wininit.ini
2009-01-16 16:02 . 2008-08-06 15:45	4,122,112	-ra------	c:\windows\system32\drivers\SETA6C.tmp
2009-01-15 17:20 . 2009-01-15 17:20	<DIR>	d--------	c:\programme\Driver-Soft
2009-01-15 17:20 . 2007-09-02 20:56	1,686,016	--a------	c:\windows\system32\clinetsuitex6.ocx
2009-01-15 17:20 . 2004-06-14 14:56	427,864	--a------	c:\windows\system32\XceedZip.dll
2009-01-15 17:10 . 2009-01-15 17:10	23,600	--a------	c:\windows\system32\drivers\TVICHW32.SYS
2009-01-15 17:01 . 2009-01-15 17:01	<DIR>	d--------	c:\programme\Realtek AC97
2009-01-08 01:02 . 2006-10-26 19:56	32,592	--a------	c:\windows\system32\msonpmon.dll
2009-01-08 01:01 . 2009-01-08 01:01	<DIR>	d--------	c:\programme\Microsoft Works
2009-01-08 00:59 . 2009-01-08 00:59	<DIR>	d--------	c:\programme\Microsoft.NET
2009-01-08 00:57 . 2009-01-08 00:57	<DIR>	d--------	c:\windows\SHELLNEW
2009-01-08 00:56 . 2009-01-08 23:57	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-01-08 00:55 . 2009-01-08 00:55	<DIR>	dr-h-----	C:\MSOCache
2009-01-05 00:14 . 2008-11-18 10:50	330,344	--a------	c:\windows\RCoUn0.exe
2009-01-05 00:14 . 2009-01-05 00:14	2,102	-r-------	c:\windows\RouterControl0_Uninstall.in
2008-12-19 17:32 . 2008-12-19 17:32	<DIR>	d--------	c:\programme\Microsoft Silverlight
2008-12-19 17:30 . 2008-12-19 17:30	<DIR>	d--------	c:\programme\iPod
2008-12-19 17:30 . 2008-12-19 17:31	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-19 17:27 . 2008-12-19 17:28	<DIR>	d--------	c:\programme\QuickTime

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-19 18:18	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\BOINC
2009-01-19 16:48	---------	d-----w	c:\programme\Spybot - Search & Destroy
2009-01-19 16:48	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-18 21:46	---------	d-----w	c:\programme\PeerGuardian2
2009-01-18 18:51	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2009-01-18 11:06	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-01-15 15:31	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DriverScanner
2009-01-06 22:01	---------	d-----w	c:\dokumente und einstellungen\Steve\Anwendungsdaten\FrostWire
2009-01-04 23:14	---------	d-----w	c:\programme\RouterControl
2008-12-26 01:10	---------	d-----w	c:\dokumente und einstellungen\Steve\Anwendungsdaten\dvdcss
2008-12-26 00:50	---------	d-----w	c:\programme\RSD_RC_Anleitung_by_Headsplitter
2008-12-19 19:41	---------	d-----w	c:\programme\Yahoo!
2008-12-19 16:31	---------	d-----w	c:\programme\iTunes
2008-12-19 16:30	---------	d-----w	c:\programme\Gemeinsame Dateien\Apple
2008-12-17 22:41	---------	dc-h--w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D5ABFFAD-D592-4F98-B02B-587125B4801F}
2008-12-17 22:41	---------	d-----w	c:\programme\Uniblue
2008-12-17 22:41	---------	d-----w	c:\dokumente und einstellungen\Steve\Anwendungsdaten\Uniblue
2008-12-17 17:48	---------	d-----w	c:\programme\TuneUp Utilities 2009
2008-12-17 17:46	---------	d-sh--w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-17 17:46	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-12-17 17:41	---------	d-----w	c:\programme\Steam
2008-12-11 11:57	333,184	----a-w	c:\windows\system32\drivers\srv.sys
2008-12-03 22:24	---------	d-----w	c:\programme\eMule
2008-12-02 17:27	---------	d-----w	c:\programme\ICQ6.5
2008-12-02 17:21	---------	d-----w	c:\programme\ICQ6
2008-11-27 11:38	---------	d-----w	c:\programme\Java
2008-11-19 17:07	---------	d-----w	c:\programme\BOINC
1999-04-23 22:22	12	--sha-w	c:\windows\system\WININETICMP32.drv
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872]
"PeerGuardian"="c:\programme\PeerGuardian2\pg2.exe" [2005-09-18 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-27 136600]
"UpdateManager"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]
"DVDTray"="c:\programme\HP DVD\Umbrella\DVDTray.exe" [2004-09-03 53248]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"boinctray"="c:\programme\BOINC\boinctray.exe" [2008-09-19 58112]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-11-29 c:\windows\KHALMNPR.Exe]
"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

c:\dokumente und einstellungen\Steve\Startmen\Programme\Autostart\
Microsoft-Indexerstellung.lnk - c:\programme\Microsoft Office\Office\FINDFAST.EXE [1996-12-13 111376]
Office-Start.lnk - c:\programme\Microsoft Office\Office\OSA.EXE [1996-12-13 51984]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-05-29 110592]
BOINC Manager.lnk - c:\programme\BOINC\boincmgr.exe [2008-09-19 4190976]
D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk - c:\programme\AIRPLUS\D-Link AirPlus DWL-120+ Wireless USB Adapter\AIRPLUS.EXE [2007-05-18 253952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-01-09 12:30 72208 c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2007-06-16 23:17 1377010 c:\programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG8_TRAY]
--a------ 2008-10-19 23:59 1234712 c:\progra~1\AVG\AVG8\avgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]
--a------ 2006-12-26 01:23 643072 c:\programme\Eraser\eraser.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-11-30 14:41 172792 c:\programme\ICQ6.5\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-11-20 13:20 290088 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2007-03-23 12:20 227328 c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-11-04 10:30 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-07-07 09:42 2156368 c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"avg8wd"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MyMDb\\MyMDb.exe"=
"c:\\Programme\\FrostWire\\FrostWire.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-10-19 97928]
R3 TIACXUSB;D-Link AirPlus DWL-120+ Wireless USB Adapter;c:\windows\system32\drivers\tiacxusb.sys [2007-05-17 177792]
R4 BOINC;BOINC;c:\programme\BOINC\boinc.exe -daemon --> c:\programme\BOINC\boinc.exe -daemon [?]
R4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-12-17 603904]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-09-14 33752]
S3 SampleScanner;Ultima2000  Scanner;c:\windows\system32\drivers\GT680X.SYS [2008-03-23 18120]
S3 TIAcxubt;D-Link WLAN USB Boot Device;c:\windows\system32\drivers\tiacxubt.sys [2007-05-18 58752]
S4 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-10-19 231704]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-01-19 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]

2008-08-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{472F7296-0836-418B-8010-2C2BB344EF88} - (no file)
BHO-{8eb5bd69-b329-4da5-b490-885b346832bb} - c:\windows\system32\ccpkqa.dll
BHO-{974EA41B-3BE5-4889-B71C-D66DCBE43D31} - c:\windows\system32\xxywTMEx.dll
BHO-{A4D13F30-55A5-49BB-8B90-2A71EA9673A9} - c:\windows\system32\tuvUNfeD.dll
HKLM-Run-spywareguard - c:\programme\Spyware Guard 2009\spywareguard.exe
ShellExecuteHooks-{A4D13F30-55A5-49BB-8B90-2A71EA9673A9} - c:\windows\system32\tuvUNfeD.dll
MSConfigStartUp-AVG7_CC - c:\progra~1\Grisoft\AVG7\avgcc.exe
MSConfigStartUp-CryptLoad - c:\dokumente und einstellungen\Steve\Desktop\cryptload\RouterClient.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/
uInternet Settings,ProxyOverride = *.local
IE: &NeoTrace It! - c:\progra~1\NEOTRA~1\NTXcontext.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {0A62F8B6-5B0E-4690-93EF-93B4D1536C42} = 212.77.160.129,212.77.161.100
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Steve\Anwendungsdaten\Mozilla\Firefox\Profiles\r6vo4fgz.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\dokumente und einstellungen\Steve\Anwendungsdaten\Mozilla\Firefox\Profiles\r6vo4fgz.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF - plugin: c:\programme\Picasa2\npPicasa2.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-19 19:18:53
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1935655697-606747145-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
   00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\

[HKEY_USERS\S-1-5-21-1935655697-606747145-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:dd,0f,82,93,55,56,55,be,53,12,73,84,66,c8,e1,99,54,32,2b,d0,4b,e8,1f,
   ce,66,87,b8,22,5b,d0,b5,e4,02,bc,6e,09,8b,1e,9b,cc,9e,e4,fb,42,62,78,84,ca,\
"??"=hex:5d,c5,15,f9,86,23,ad,63,f4,15,61,df,f1,0b,f9,eb
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(912)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\BOINC\boinc.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\IoctlSvc.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\BOINC\projects\boinc.bakerlab.org_rosetta\rosetta_beta_5.98_windows_intelx86.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-19 19:26:01 - PC wurde neu gestartet [Steve]
ComboFix-quarantined-files.txt  2009-01-19 18:25:58

Vor Suchlauf: 23 Verzeichnis(se), 12,558,778,368 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 12,899,799,040 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition (bootscreen)" /fastdetect /NoExecute=OptIn kernel1.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

287	--- E O F ---	2009-01-14 14:04:00
         

Alt 19.01.2009, 19:32   #10
undoreal
/// AVZ-Toolkit Guru
 
Virtumonde - Standard

Virtumonde



Lasse jetzt die drei Rootkit Scanner durchlaufen.

Deinstalliere eMule.

Und update deine Clever ActiveX Software: http://www.heise.de/security/Loechri...meldung/93419/


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
c:\windows\system32\d3d9caps.dat
c:\windows\system32\wgivxfdw.exe

Folders to delete:
c:\programme\eMule
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.



Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

c:\windows\system32\drivers\SETA6C.tmp
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Geändert von undoreal (19.01.2009 um 20:13 Uhr)

Alt 19.01.2009, 23:24   #11
steveman
 

Virtumonde - Standard

Virtumonde



Panda hat nix gefunden.


Das Blacklight Log:

Code:
ATTFilter
01/19/09 19:44:58 [Info]: BlackLight Engine 2.2.1092 initialized
01/19/09 19:44:58 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/19/09 19:44:58 [Note]: 7019 4
01/19/09 19:44:58 [Note]: 7005 0
01/19/09 19:45:03 [Note]: 7006 0
01/19/09 19:45:03 [Note]: 7011 1128
01/19/09 19:45:03 [Note]: 7035 0
01/19/09 19:45:03 [Note]: 7026 0
01/19/09 19:45:03 [Note]: 7026 0
01/19/09 19:45:05 [Note]: FSRAW library version 1.7.1024
01/19/09 23:00:47 [Note]: 7007 0
         

GMER Log:

Code:
ATTFilter
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-19 23:03:53
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            sptd.sys                  ZwEnumerateKey [0xF742AFB2]
SSDT            sptd.sys                  ZwEnumerateValueKey [0xF742B340]

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs    82F671E8
Device          \FileSystem\Fastfat \Fat  82BA7790

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----
         

Avanger Log:
Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\d3d9caps.dat" deleted successfully.
File "c:\windows\system32\wgivxfdw.exe" deleted successfully.
Folder "c:\programme\eMule" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Virustotal Log:

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	  4.0.0.73	 2009.01.19	                           -
AhnLab-V3	2009.1.20.1	2009.01.19	                           -
AntiVir	7.9.0.57	2009.01.19	                           -
Authentium	5.1.0.4	2009.01.19	                           -
Avast	4.8.1281.0	2009.01.19	-
AVG	8.0.0.229	2009.01.19	-
BitDefender	7.2	2009.01.19	-
CAT-QuickHeal	10.00	2009.01.19	-
ClamAV	0.94.1	2009.01.19	-
Comodo	937	2009.01.19	-
DrWeb	4.44.0.09170	2009.01.19	-
eSafe	7.0.17.0	2009.01.19	-
eTrust-Vet	31.6.6315	2009.01.19	-
F-Prot	4.4.4.56	2009.01.19	-
F-Secure	8.0.14470.0	2009.01.19	-
Fortinet	3.117.0.0	2009.01.15	-
GData	19	2009.01.19	-
Ikarus	T3.1.1.45.0	2009.01.19	-
K7AntiVirus	7.10.595	2009.01.19	-
Kaspersky	7.0.0.125	2009.01.19	-
McAfee	5500	2009.01.19	-
McAfee+Artemis	5500	2009.01.19	-
Microsoft	1.4205	2009.01.19	-
NOD32	3778	2009.01.19	-
Norman	5.93.01	2009.01.19	-
nProtect	2009.1.8.0	2009.01.19	-
Panda	9.5.1.2	2009.01.19	-
PCTools	4.4.2.0	2009.01.19	-
Prevx1	V2	2009.01.19	-
Rising	21.13.02.00	2009.01.19	-
SecureWeb-Gateway	6.7.6	2009.01.19	-
Sophos	4.37.0	2009.01.19	-
Sunbelt	3.2.1835.2	2009.01.16	-
Symantec	10	2009.01.19	-
TheHacker	6.3.1.5.223	2009.01.18	-
TrendMicro	8.700.0.1004	2009.01.19	-
VBA32	3.12.8.10	2009.01.18	-
ViRobot	2009.1.19.1565	2009.01.19	-
VirusBuster	4.5.11.0	2009.01.19	-
weitere Informationen
File size: 4122112 bytes
MD5...: c6a08ae1248c8024117216a641d74075
SHA1..: 52445e21c813b6c8e5eec57f6891347cd637c313
SHA256: f1ae03864502fa9759ca82a7e453240b73df34f0e1815bcd64e58226cb4090e9
SHA512: daff65e1f15c4ed8bcc3624cb6bbf2b91d73b1563b4053bd88064afce8764075
fb2a8e82c474f16d47f3d276ef8bebb9387344f6c9673558c9d77a11406e30a5
ssdeep: 98304:6U16p/c+ytvAsco8QcdcPsRsYsVsrsisEsJsbIw4wqPr2GFPYIXjIJjIhC
TR:e5c+ytxco8QcdcPsRsYsVsrsisEsJsMG
PEiD..: -
TrID..: File type identification
Windows Screen Saver (47.3%)
Win32 Executable Generic (30.7%)
Clipper DOS Executable (7.2%)
Generic Win/DOS Executable (7.2%)
DOS Executable Generic (7.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3ec045
timedatestamp.....: 0x48995686 (Wed Aug 06 07:45:10 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x500 0x1fa8bc 0x1fa8c0 6.69 4c87205a689f549fc0096471af445b2c
CODE 0x1fadc0 0x1a9 0x1c0 4.21 134f2fdfd1b04432d240ac3e1ef2b3b4
.rdata 0x1faf80 0x6fe86 0x6fec0 7.51 7dda4009b5954cd21cf12a9040922883
.data 0x26ae40 0x16b2f4 0x16b300 6.80 8f7946fee55284731657482e855c9409
.data1 0x3d6140 0x50 0x80 1.70 b8bfba04267a028046d7562f6e6a97e9
PAGE 0x3d61c0 0x5e41 0x5e80 6.43 4d9330703a7f9599ede9985678b51272
INIT 0x3dc040 0xba0 0xbc0 5.70 e958db864e107102dcff98dde7b5b0c0
.rsrc 0x3dcc00 0x490 0x4c0 3.44 8b556a6af3b2de78f893fab361a5739b
.reloc 0x3dd0c0 0x11532 0x11540 6.26 f4fe3adbe1fe0135e69c9825352ba8cc

( 3 imports )
> ntoskrnl.exe: ExAllocatePoolWithTag, ObReferenceObjectByHandle, ExEventObjectType, DbgPrint, IoIsWdmVersionAvailable, IofCompleteRequest, KeInitializeSpinLock, strstr, WRITE_REGISTER_USHORT, WRITE_REGISTER_UCHAR, WRITE_REGISTER_ULONG, READ_REGISTER_UCHAR, READ_REGISTER_USHORT, READ_REGISTER_ULONG, KeCancelTimer, InterlockedExchange, MmUnmapLockedPages, KeReleaseMutex, IoFreeMdl, MmMapLockedPages, MmMapLockedPagesSpecifyCache, MmBuildMdlForNonPagedPool, IoAllocateMdl, atoi, KeSetTimerEx, KeSaveFloatingPointState, KeRestoreFloatingPointState, RtlCompareUnicodeString, ExRegisterCallback, ExCreateCallback, KeInitializeDpc, KeInitializeTimerEx, RtlWriteRegistryValue, MmMapIoSpace, KeInitializeMutex, MmUnmapIoSpace, ExUnregisterCallback, PsTerminateSystemThread, KeWaitForMultipleObjects, KeSetPriorityThread, PsCreateSystemThread, _alldiv, _allmul, InterlockedIncrement, InterlockedDecrement, memmove, KeInsertQueueDpc, IoCreateDevice, IoDeleteDevice, ObfReferenceObject, PoStartNextPowerIrp, PoSetPowerState, KeTickCount, KeBugCheckEx, IoGetAttachedDeviceReference, KeInitializeEvent, IoBuildSynchronousFsdRequest, IofCallDriver, KeWaitForSingleObject, RtlInitUnicodeString, ZwCreateFile, ZwReadFile, ZwClose, ObfDereferenceObject, KeSetEvent, ExSetTimerResolution, ExFreePool, _allshr, RtlRaiseException, rand, strncmp, _except_handler3, ZwOpenKey, IoGetCurrentProcess, sprintf, RtlAnsiStringToUnicodeString, RtlFreeUnicodeString, ZwWriteFile, RtlUnicodeStringToAnsiString, RtlFreeAnsiString, KeSetTimer, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, memset, memcpy, strlen, strcpy, KeRemoveQueueDpc, RtlCompareMemory, KeClearEvent, _allshl
> HAL.dll: KfRaiseIrql, KfLowerIrql, READ_PORT_ULONG, READ_PORT_USHORT, READ_PORT_UCHAR, WRITE_PORT_ULONG, WRITE_PORT_UCHAR, WRITE_PORT_USHORT, KeStallExecutionProcessor, KfAcquireSpinLock, KfReleaseSpinLock, KeGetCurrentIrql
> portcls.sys: PcNewServiceGroup, PcNewInterruptSync, PcGetTimeInterval, PcInitializeAdapterDriver, PcDispatchIrp, PcAddAdapterDevice, PcRegisterAdapterPowerManagement, PcRegisterPhysicalConnection, PcNewResourceSublist, PcNewRegistryKey, PcNewPort, PcNewMiniport, PcRegisterSubdevice

( 0 exports )
         

Alt 20.01.2009, 14:47   #12
undoreal
/// AVZ-Toolkit Guru
 
Virtumonde - Standard

Virtumonde



Das sieht schonmal ganz gut aus.

Weiter geht's mit SUPERAntiSpyware und Anti-Malware.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 20.01.2009, 19:34   #13
steveman
 

Virtumonde - Standard

Virtumonde



SuperAntiSpyware Log:

Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/20/2009 at 06:00 PM

Application Version : 4.24.1004

Core Rules Database Version : 3717
Trace Rules Database Version: 1691

Scan type       : Complete Scan
Total Scan Time : 00:44:53

Memory items scanned      : 498
Memory threats detected   : 0
Registry items scanned    : 6427
Registry threats detected : 7
File items scanned        : 26656
File threats detected     : 58

Rogue.SpywareGuard2008
	HKLM\Software\Classes\CLSID\{3EEC0075-3B69-426C-8C31-D9C94508D35E}
	HKCR\CLSID\{3EEC0075-3B69-426C-8C31-D9C94508D35E}
	HKCR\CLSID\{3EEC0075-3B69-426C-8C31-D9C94508D35E}\InprocServer32
	HKCR\CLSID\{3EEC0075-3B69-426C-8C31-D9C94508D35E}\InprocServer32#ThreadingModel
	C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\DLLS\IEMODULE.DLL
	C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\DLLS\VMBDEUPMSB.DLL

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ads2.sportglobal[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@sexyadultlist[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@webmasterplan[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@www.netdebit-counter[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@82.98.235[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@oberon-media[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@azjmp[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@tradedoubler[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@im.banner.t-online[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@achtung-sexy[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ad.adition[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adfarm1.adition[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ads.magicminds[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ad.zanox[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@windowsmedia[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@komtrack[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ad.71i[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adultfriendfinder[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@www.zanox-affiliate[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@media.funpic[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adserver.71i[3].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@www.ddl-warez[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@zbox.zanox[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@atwola[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adopt.specificclick[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@sevenoneintermedia.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adserver.71i[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@im.banner.t-online[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adserver.71i[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@sexyadultlist[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ads.revsci[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ad.71i[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adbrite[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@tacoda[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@hmt.connexpromotions[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@www.netdebit-counter[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@atwola[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@2o7[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@2o7[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ads.quartermedia[1].txt

Rogue.Component/Trace
	HKLM\Software\Microsoft\182F38EB
	HKLM\Software\Microsoft\182F38EB#182f38eb
	HKLM\Software\Microsoft\182F38EB#Version

Trojan.Net-SvHoster
	C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\PROTECT\SVHOST.EXE
	C:\WINDOWS\Prefetch\SVHOST.EXE-027261BB.pf

Rootkit.TDSServ/Fake
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110653.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110654.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110655.DLL

Adware.Vundo/Variant
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110702.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110689.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110690.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110691.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110692.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110693.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110695.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110696.DLL

Adware.Vundo-Variant/H
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110694.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110697.DLL
         

Hab ich alles entfernen lassen.

Jetzt läuft grad Anti-Maleware.

Alt 21.01.2009, 22:08   #14
steveman
 

Virtumonde - Standard

Virtumonde



Anti-Maleware Log:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1674
Windows 5.1.2600 Service Pack 2

21.01.2009 22:07:12
mbam-log-2009-01-21 (22-07-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 144303
Laufzeit: 53 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 17

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\ccjuyyrw.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ccpkqa.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drstex.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\dxlomy.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\kodbglnq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\qtieuugv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\rbbysoea.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSScfum.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSnrsr.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSofxh.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSriqp.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\xxywTMEx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ymyjfvqk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110656.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110701.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP89\A0113720.dll (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP89\A0113721.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
         

Alt 21.01.2009, 23:14   #15
undoreal
/// AVZ-Toolkit Guru
 
Virtumonde - Standard

Virtumonde



Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.



Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu Virtumonde
ad-aware, adobe, avg, bho, bonjour, dll, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, nvidia, pop-up-blocker, programme, rundll, senden, software, solution, system, tuneup.defrag, usb, virtumonde, windows, windows xp



Ähnliche Themen: Virtumonde


  1. Virtumonde :(
    Plagegeister aller Art und deren Bekämpfung - 01.03.2009 (4)
  2. Virtumonde
    Plagegeister aller Art und deren Bekämpfung - 30.01.2009 (0)
  3. Virtumonde/Virtumonde.prx nicht entfernbar !!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2009 (29)
  4. Smitfraud C, virtumonde, virtumonde generic
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (11)
  5. Virtumonde und Co...?
    Log-Analyse und Auswertung - 07.01.2009 (2)
  6. Virtumonde
    Plagegeister aller Art und deren Bekämpfung - 06.01.2009 (6)
  7. Virtumonde.prx und Virtumonde
    Mülltonne - 30.12.2008 (1)
  8. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  9. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  10. Spybot meldet Smitfraud-C. Virtumonde & Virtumonde.generic Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2008 (1)
  11. Virtumonde.prx
    Log-Analyse und Auswertung - 05.12.2008 (2)
  12. Smitfraud-C. & Virtumonde & Virtumonde.generic
    Log-Analyse und Auswertung - 01.12.2008 (7)
  13. Smitfraud-C./Virtumonde/Virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 25.11.2008 (22)
  14. Virtumonde
    Log-Analyse und Auswertung - 25.06.2008 (10)
  15. Virtumonde.dll
    Plagegeister aller Art und deren Bekämpfung - 17.06.2008 (6)
  16. Virtumonde
    Plagegeister aller Art und deren Bekämpfung - 25.05.2008 (17)
  17. Virtumonde
    Mülltonne - 29.10.2007 (0)

Zum Thema Virtumonde - Hi, hatte Virtumone auf dem PC und hab mit Spybot und Ad-Aware alles entfernt was sie diesbezüglich gefunden haben. Könnt ihr noch mein LogFile von HijackThis checken? Logfile of Trend - Virtumonde...
Archiv
Du betrachtest: Virtumonde auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.