Hi, hatte Virtumone auf dem PC und hab mit Spybot und Ad-Aware alles entfernt was sie diesbezüglich gefunden haben.

Könnt ihr noch mein LogFile von HijackThis checken?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:10, on 18.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\HP DVD\Umbrella\DVDTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\BOINC\boinctray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\AIRPLUS\D-Link AirPlus DWL-120+ Wireless USB Adapter\AIRPLUS.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Java\jre6\bin\java.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {472F7296-0836-418B-8010-2C2BB344EF88} - C:\WINDOWS\system32\tuvSiiFU.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {A4D13F30-55A5-49BB-8B90-2A71EA9673A9} - C:\WINDOWS\system32\tuvUNfeD.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: {dbd31477-76e9-daf9-7674-b0c35e0f1b3b} - {b3b1f0e5-3c0b-4767-9fad-9e6777413dbd} - C:\WINDOWS\system32\drstex.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDTray] "C:\Programme\HP DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [boinctray] "C:\Programme\BOINC\boinctray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingC1429] cmd /c del "C:\WINDOWS\system32\tuvSiiFU.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5475] cmd /c del "C:\WINDOWS\system32\xqqvwiax.dll_old"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB3391] command /c del "C:\WINDOWS\system32\tuvSiiFU.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9336] cmd /c del "C:\WINDOWS\system32\tuvSiiFU.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2402] command /c del "C:\WINDOWS\system32\xqqvwiax.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1712] cmd /c del "C:\WINDOWS\system32\xqqvwiax.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BOINC Manager.lnk = C:\Programme\BOINC\boincmgr.exe
O4 - Global Startup: D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk = ?
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A62F8B6-5B0E-4690-93EF-93B4D1536C42}: NameServer = 212.77.160.129,212.77.161.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A62F8B6-5B0E-4690-93EF-93B4D1536C42}: NameServer = 212.77.160.129,212.77.161.100
O20 - AppInit_DLLs: drstex.dll
O20 - Winlogon Notify: tuvUNfeD - C:\WINDOWS\SYSTEM32\tuvUNfeD.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BOINC - Space Sciences Laboratory - C:\Programme\BOINC\boinc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11192 bytes

Halli hallo steveman

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
  Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
  .
• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • Vista_ TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Überprüfe den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.

Poste danach ein frisches HJT log.

Ich kan Super Antimaleware und Malewarebytes nicht laden. Bekomme keine Verbindung zur jeweiligen Homepage.
Mit dem Firefox und IE nicht. Blockiert Virtumonde da etwas?

Das kann Vundo nicht. Da sitzt noch mehr im System.

Ist auch aus dem log ersichtlich..

Dann anders.


Panda AntiRootkit

• Lade dir bitte Panda's AntiRootkit.zip und entpacke es auf dem Desktop.
• Starte die PAVARK.exe durch einen Doppelklick.
• Setze für die Option In-depth Scan ein Häkchen. Der Rechner muss danach neugestartet werden damit ein Treiber installiert werden kann.
• Starte den Scan nach dem Neustarte mit einem Klick auf Scan starten.
• Sollten Rootkits gefunden worden sein werden sie dir im zweiten Schritt aufgelistet. Es ist unbedingt notwendig, dass wir diese Informationen erhalten!
  Kopiere bzw. tippe sie also entweder ab oder erstelle einen Screenshot und stelle uns diesen zur Verfügung.
• Bereinige die Funde anschließend!

Blacklight


Scanne den Rechner danach zusätzlich mit Blacklight und poste das log! (C:\fsbl.log)
Evtl. Funde lasse bitte ebenfalls beheben/umbennen.


GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Doppelklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Wenn alle drei nicht laufen dann machen wir's noch anders..

Hallo Stevemann,

versuche es doch mal im abgesicherten Modus mit Netzwerktreibern zu laden.

Ich musste mich am Wochenend auch mit Virtumonde herumschlagen und hoffe das die Spezis sich mein Logfile von Hijack anschauen und mir bestätigen können das es weg ist.

Ich habe nicht versucht Malwarebyte und Antimal im normalen Modus zu laden, sondern es direkt im abgesicherten Modus runtergeladen.

Das hat bei mir wunderbar geklappt.

Grüße

nthaifisch

Bin gerade im Abgesichterten Modus und die drei vorgeschlagen Anti Roots funktionieren auch nicht. Keine Verbindung zu den Seiten.

Ah ich dreh gleich durch.

Nicht durchdrehen!

Ist alles halb so wild. Damit haben wir hier ständig zu tun.
Abgesicherter bringt überhaupt nichts...

Panda hat nix gefunden.


Das Blacklight Log:

Code: Alles auswählenAufklappen

ATTFilter

01/19/09 19:44:58 [Info]: BlackLight Engine 2.2.1092 initialized
01/19/09 19:44:58 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/19/09 19:44:58 [Note]: 7019 4
01/19/09 19:44:58 [Note]: 7005 0
01/19/09 19:45:03 [Note]: 7006 0
01/19/09 19:45:03 [Note]: 7011 1128
01/19/09 19:45:03 [Note]: 7035 0
01/19/09 19:45:03 [Note]: 7026 0
01/19/09 19:45:03 [Note]: 7026 0
01/19/09 19:45:05 [Note]: FSRAW library version 1.7.1024
01/19/09 23:00:47 [Note]: 7007 0
         

GMER Log:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-19 23:03:53
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            sptd.sys                  ZwEnumerateKey [0xF742AFB2]
SSDT            sptd.sys                  ZwEnumerateValueKey [0xF742B340]

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs    82F671E8
Device          \FileSystem\Fastfat \Fat  82BA7790

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----
         

Avanger Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\d3d9caps.dat" deleted successfully.
File "c:\windows\system32\wgivxfdw.exe" deleted successfully.
Folder "c:\programme\eMule" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Virustotal Log:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	  4.0.0.73	 2009.01.19	                           -
AhnLab-V3	2009.1.20.1	2009.01.19	                           -
AntiVir	7.9.0.57	2009.01.19	                           -
Authentium	5.1.0.4	2009.01.19	                           -
Avast	4.8.1281.0	2009.01.19	-
AVG	8.0.0.229	2009.01.19	-
BitDefender	7.2	2009.01.19	-
CAT-QuickHeal	10.00	2009.01.19	-
ClamAV	0.94.1	2009.01.19	-
Comodo	937	2009.01.19	-
DrWeb	4.44.0.09170	2009.01.19	-
eSafe	7.0.17.0	2009.01.19	-
eTrust-Vet	31.6.6315	2009.01.19	-
F-Prot	4.4.4.56	2009.01.19	-
F-Secure	8.0.14470.0	2009.01.19	-
Fortinet	3.117.0.0	2009.01.15	-
GData	19	2009.01.19	-
Ikarus	T3.1.1.45.0	2009.01.19	-
K7AntiVirus	7.10.595	2009.01.19	-
Kaspersky	7.0.0.125	2009.01.19	-
McAfee	5500	2009.01.19	-
McAfee+Artemis	5500	2009.01.19	-
Microsoft	1.4205	2009.01.19	-
NOD32	3778	2009.01.19	-
Norman	5.93.01	2009.01.19	-
nProtect	2009.1.8.0	2009.01.19	-
Panda	9.5.1.2	2009.01.19	-
PCTools	4.4.2.0	2009.01.19	-
Prevx1	V2	2009.01.19	-
Rising	21.13.02.00	2009.01.19	-
SecureWeb-Gateway	6.7.6	2009.01.19	-
Sophos	4.37.0	2009.01.19	-
Sunbelt	3.2.1835.2	2009.01.16	-
Symantec	10	2009.01.19	-
TheHacker	6.3.1.5.223	2009.01.18	-
TrendMicro	8.700.0.1004	2009.01.19	-
VBA32	3.12.8.10	2009.01.18	-
ViRobot	2009.1.19.1565	2009.01.19	-
VirusBuster	4.5.11.0	2009.01.19	-
weitere Informationen
File size: 4122112 bytes
MD5...: c6a08ae1248c8024117216a641d74075
SHA1..: 52445e21c813b6c8e5eec57f6891347cd637c313
SHA256: f1ae03864502fa9759ca82a7e453240b73df34f0e1815bcd64e58226cb4090e9
SHA512: daff65e1f15c4ed8bcc3624cb6bbf2b91d73b1563b4053bd88064afce8764075
fb2a8e82c474f16d47f3d276ef8bebb9387344f6c9673558c9d77a11406e30a5
ssdeep: 98304:6U16p/c+ytvAsco8QcdcPsRsYsVsrsisEsJsbIw4wqPr2GFPYIXjIJjIhC
TR:e5c+ytxco8QcdcPsRsYsVsrsisEsJsMG
PEiD..: -
TrID..: File type identification
Windows Screen Saver (47.3%)
Win32 Executable Generic (30.7%)
Clipper DOS Executable (7.2%)
Generic Win/DOS Executable (7.2%)
DOS Executable Generic (7.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3ec045
timedatestamp.....: 0x48995686 (Wed Aug 06 07:45:10 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x500 0x1fa8bc 0x1fa8c0 6.69 4c87205a689f549fc0096471af445b2c
CODE 0x1fadc0 0x1a9 0x1c0 4.21 134f2fdfd1b04432d240ac3e1ef2b3b4
.rdata 0x1faf80 0x6fe86 0x6fec0 7.51 7dda4009b5954cd21cf12a9040922883
.data 0x26ae40 0x16b2f4 0x16b300 6.80 8f7946fee55284731657482e855c9409
.data1 0x3d6140 0x50 0x80 1.70 b8bfba04267a028046d7562f6e6a97e9
PAGE 0x3d61c0 0x5e41 0x5e80 6.43 4d9330703a7f9599ede9985678b51272
INIT 0x3dc040 0xba0 0xbc0 5.70 e958db864e107102dcff98dde7b5b0c0
.rsrc 0x3dcc00 0x490 0x4c0 3.44 8b556a6af3b2de78f893fab361a5739b
.reloc 0x3dd0c0 0x11532 0x11540 6.26 f4fe3adbe1fe0135e69c9825352ba8cc

( 3 imports )
> ntoskrnl.exe: ExAllocatePoolWithTag, ObReferenceObjectByHandle, ExEventObjectType, DbgPrint, IoIsWdmVersionAvailable, IofCompleteRequest, KeInitializeSpinLock, strstr, WRITE_REGISTER_USHORT, WRITE_REGISTER_UCHAR, WRITE_REGISTER_ULONG, READ_REGISTER_UCHAR, READ_REGISTER_USHORT, READ_REGISTER_ULONG, KeCancelTimer, InterlockedExchange, MmUnmapLockedPages, KeReleaseMutex, IoFreeMdl, MmMapLockedPages, MmMapLockedPagesSpecifyCache, MmBuildMdlForNonPagedPool, IoAllocateMdl, atoi, KeSetTimerEx, KeSaveFloatingPointState, KeRestoreFloatingPointState, RtlCompareUnicodeString, ExRegisterCallback, ExCreateCallback, KeInitializeDpc, KeInitializeTimerEx, RtlWriteRegistryValue, MmMapIoSpace, KeInitializeMutex, MmUnmapIoSpace, ExUnregisterCallback, PsTerminateSystemThread, KeWaitForMultipleObjects, KeSetPriorityThread, PsCreateSystemThread, _alldiv, _allmul, InterlockedIncrement, InterlockedDecrement, memmove, KeInsertQueueDpc, IoCreateDevice, IoDeleteDevice, ObfReferenceObject, PoStartNextPowerIrp, PoSetPowerState, KeTickCount, KeBugCheckEx, IoGetAttachedDeviceReference, KeInitializeEvent, IoBuildSynchronousFsdRequest, IofCallDriver, KeWaitForSingleObject, RtlInitUnicodeString, ZwCreateFile, ZwReadFile, ZwClose, ObfDereferenceObject, KeSetEvent, ExSetTimerResolution, ExFreePool, _allshr, RtlRaiseException, rand, strncmp, _except_handler3, ZwOpenKey, IoGetCurrentProcess, sprintf, RtlAnsiStringToUnicodeString, RtlFreeUnicodeString, ZwWriteFile, RtlUnicodeStringToAnsiString, RtlFreeAnsiString, KeSetTimer, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, memset, memcpy, strlen, strcpy, KeRemoveQueueDpc, RtlCompareMemory, KeClearEvent, _allshl
> HAL.dll: KfRaiseIrql, KfLowerIrql, READ_PORT_ULONG, READ_PORT_USHORT, READ_PORT_UCHAR, WRITE_PORT_ULONG, WRITE_PORT_UCHAR, WRITE_PORT_USHORT, KeStallExecutionProcessor, KfAcquireSpinLock, KfReleaseSpinLock, KeGetCurrentIrql
> portcls.sys: PcNewServiceGroup, PcNewInterruptSync, PcGetTimeInterval, PcInitializeAdapterDriver, PcDispatchIrp, PcAddAdapterDevice, PcRegisterAdapterPowerManagement, PcRegisterPhysicalConnection, PcNewResourceSublist, PcNewRegistryKey, PcNewPort, PcNewMiniport, PcRegisterSubdevice

( 0 exports )
         

Das sieht schonmal ganz gut aus.

Weiter geht's mit SUPERAntiSpyware und Anti-Malware.

SuperAntiSpyware Log:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/20/2009 at 06:00 PM

Application Version : 4.24.1004

Core Rules Database Version : 3717
Trace Rules Database Version: 1691

Scan type       : Complete Scan
Total Scan Time : 00:44:53

Memory items scanned      : 498
Memory threats detected   : 0
Registry items scanned    : 6427
Registry threats detected : 7
File items scanned        : 26656
File threats detected     : 58

Rogue.SpywareGuard2008
	HKLM\Software\Classes\CLSID\{3EEC0075-3B69-426C-8C31-D9C94508D35E}
	HKCR\CLSID\{3EEC0075-3B69-426C-8C31-D9C94508D35E}
	HKCR\CLSID\{3EEC0075-3B69-426C-8C31-D9C94508D35E}\InprocServer32
	HKCR\CLSID\{3EEC0075-3B69-426C-8C31-D9C94508D35E}\InprocServer32#ThreadingModel
	C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\DLLS\IEMODULE.DLL
	C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\DLLS\VMBDEUPMSB.DLL

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ads2.sportglobal[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@sexyadultlist[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@webmasterplan[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@www.netdebit-counter[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@82.98.235[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@oberon-media[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@azjmp[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@tradedoubler[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@im.banner.t-online[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@achtung-sexy[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ad.adition[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adfarm1.adition[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ads.magicminds[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ad.zanox[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@windowsmedia[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@komtrack[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ad.71i[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adultfriendfinder[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@www.zanox-affiliate[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@media.funpic[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adserver.71i[3].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@www.ddl-warez[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@zbox.zanox[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@atwola[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adopt.specificclick[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@sevenoneintermedia.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adserver.71i[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@im.banner.t-online[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adserver.71i[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@sexyadultlist[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ads.revsci[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ad.71i[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adbrite[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@tacoda[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@hmt.connexpromotions[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@www.netdebit-counter[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@atwola[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@2o7[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@2o7[2].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\Steve\Cookies\steve@ads.quartermedia[1].txt

Rogue.Component/Trace
	HKLM\Software\Microsoft\182F38EB
	HKLM\Software\Microsoft\182F38EB#182f38eb
	HKLM\Software\Microsoft\182F38EB#Version

Trojan.Net-SvHoster
	C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\PROTECT\SVHOST.EXE
	C:\WINDOWS\Prefetch\SVHOST.EXE-027261BB.pf

Rootkit.TDSServ/Fake
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110653.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110654.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110655.DLL

Adware.Vundo/Variant
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110702.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110689.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110690.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110691.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110692.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110693.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110695.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110696.DLL

Adware.Vundo-Variant/H
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110694.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110697.DLL
         

Hab ich alles entfernen lassen.

Jetzt läuft grad Anti-Maleware.

Anti-Maleware Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1674
Windows 5.1.2600 Service Pack 2

21.01.2009 22:07:12
mbam-log-2009-01-21 (22-07-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 144303
Laufzeit: 53 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 17

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\ccjuyyrw.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ccpkqa.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drstex.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\dxlomy.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\kodbglnq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\qtieuugv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\rbbysoea.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSScfum.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSnrsr.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSofxh.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSriqp.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\xxywTMEx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ymyjfvqk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110656.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110701.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP89\A0113720.dll (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP89\A0113721.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
         

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.



Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.