Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Spybot Search & Destroy meldet Virtumonde.dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.07.2009, 08:30   #1
rhinozeros
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



Moin, Moin,

seit ungefähr 4 - 5 Tagen meldet Spybot Search & Destroy ein Problem: Virtumonde.dll. Die Erläuterung zu dem gemeldeten Problem sieht so aus: (SBI $92386332) Bibliothek C:\WINDOWS\system32\zipfldr.dll. Wenn ich das Problem beheben lasse, meldet Spybot Search & Destroy auch, daß es das Problem behoben hat, um es bei der nächsten Überprüfung prompt wiederzufinden. Hinzu kommt noch Folgendes: Spybot Search & Destroy schreibt sich mit einem Starteintrag in die Registry ein, vermutlich bei HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce. Beim nächsten Systemstart startet also erstmal Spybot Search & Destroy. Auf meinem nicht mehr so ganz jungen System dauert es so ca. 2 Stunden, ehe Windows dann so richtig anfangen kann. Toll!

Virtumonde ist nach den Beschreibungen, die man so im Internet findet, nicht ganz harmlos: Überwachung der Internet-Verbindung und anderes mehr. Online-Banking fällt erstmal aus. Irgendwelche Popups oder Werbeblasen usw. habe ich noch nicht bemerkt.

Auf der in höchst zweifelhaften Deutsch verfaßten www-Seite entfernen-spyware.de/virtumonde-entfernen.html findet man einige Informationen zu Virtumonde.dll und ein Werkzeug (Spyhunter) zur Entfernung desselben. Mit einem derart schlechten Deutsch sind schon Phisher bei mir angerückt. Nee, nee, so einfach geht jeht det nich bei mir. Auf dieser Seite gibt es aber auch einige Informationen zu Registryeinträgen und Dateien, die zu Virtumonde gehören. Ich habe danach in meinen Computer gesucht und nichts davon gefunden.

Zur Datei zipfldr.dll findet man im Internet (http://www.dateiname.info/f/zipfldr.dll.html) folgendes: Die Datei zipfldr.dll ist in folgender Software enthalten: Windows XP Home Edition, Deutsch.

Wenn ich versuche, diese Datei zu löschen oder mit einer heruntergeladenen anderen Version zu überschreiben, erscheint innerhalb von höchsten 5 Sekunden die alte Datei zipfldr.dll wieder an der alten Stelle.

Da ist etwas faul, aber was? Und wie löse ich das Problem?

Ein paar Informationen zu meinem System:

Medion Titanium MD 8386
Intel Pentium 4 Prozessor 640 3,2 GHz , 2MB L2 Cache , 800 MHz FSB
1024 MB Ram DDR 400 MHz 64 Bit dual channel memory
TV-Karte mit analog Stereo-TV & FM Radio Tuner, DVB-S, DVB-T)
ATI Radeon X740 XL 128 MB(TV Out über Scart, S-Video und Composite. GDDR3 Speicher mit ATI Grafikprozessor mit 425 MHz. PCI-Express x 16-Bus Konzept, DVI-I, VGA D-Sub )
2 x Western Digital 150 GB Festplatte 8MB Cache , S-ATA 150 Interface 7200 U/Min
eine Festplatte unterteilt in C:, D:, E:, die andere Festplatte ist vollständig Laufwerk F:
Pioneer 16x Dual Layer, Multi Standard DVD/CD Brenner
LG 16x DVD-ROM
MEDION WLAN 54 MBIT/s IEEE 802.11g
MEDION Bluetooth Funkstandard
MEDION integrierter 9in1 USB 2.0 Kartenleser
6x USB 2.0 (2x Front , 4x Rückseite)
2x FireWire (IEEE 1394) 1x Front , 1x Rückseite
Dolby Digital 8 Kanal Intel High Definition Audio
Medion 56K V.9x PCI Daten Fax Modem
Netzwerkcontroller on Board Fast Ethernet 10/100 MBit/s
Windows XP Home Edition, es müßten eigentlich alle Updates vorhanden und installiert sein.

Der aktuelle HijackThis-LogFile:

Logfile of HijackThis v1.99.1
Scan saved at 19:47:49, on 26.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\HAUPPA~1\MVPStart.exe
C:\Programme\USBDLM\USBDLM.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ClipMan\Clipman.exe
C:\Programme\Desk-Timer\DeskAlarm.exe
C:\Programme\TClock\tclock2.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Meteo Fusion\Meteo Fusion.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\SpeedProject\SpeedCommander 8\SpeedEdit.exe
C:\Programme\Opera\opera.exe
C:\Programme\SpeedProject\SpeedCommander 8\SpeedCommander.exe
C:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309 .15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Autostart.lnk = C:\Programme\RunCMD\CMD\Autostart.cmd
O4 - Global Startup: Versatel DSL.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Add to MVP Favorite Radio Stations - C:\Programme\Hauppauge MediaMVP\mvp.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1199381810984
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC32E40C-7D6A-4C7B-8C3B-8923F7D8B79E}: NameServer = 82.144.41.8 82.145.9.8
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: MVPMedia - Hauppauge Computer Works - C:\PROGRA~1\HAUPPA~1\MVPStart.exe
O23 - Service: MVPMediaSvc - Hauppauge Computer Works, Inc. - C:\PROGRA~1\HAUPPA~1\Hardware\DglSvcMain.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
O23 - Service: USBDLM - Uwe Sieber - www.uwe-sieber.de - C:\Programme\USBDLM\USBDLM.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

2 Online-Überprüfungen habe ich inzwischen mit zipfldr.dll durchgeführt: VirusTotal und Virscan.org. Beide haben nichts gefunden.

Hier der VirusTotal-Log:

Datei zipfldr.dll empfangen 2009.07.26 18:52:47 (UTC)Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.26 -
AhnLab-V3 5.0.0.2 2009.07.26 -
AntiVir 7.9.0.228 2009.07.24 -
Antiy-AVL 2.0.3.7 2009.07.24 -
Authentium 5.1.2.4 2009.07.26 -
Avast 4.8.1335.0 2009.07.26 -
AVG 8.5.0.387 2009.07.26 -
BitDefender 7.2 2009.07.26 -
CAT-QuickHeal 10.00 2009.07.25 -
ClamAV 0.94.1 2009.07.26 -
Comodo 1774 2009.07.26 -
DrWeb 5.0.0.12182 2009.07.26 -
eSafe 7.0.17.0 2009.07.26 -
eTrust-Vet 31.6.6640 2009.07.25 -
F-Prot 4.4.4.56 2009.07.26 -
F-Secure 8.0.14470.0 2009.07.26 -
Fortinet 3.120.0.0 2009.07.26 -
GData 19 2009.07.26 -
Ikarus T3.1.1.64.0 2009.07.26 -
Jiangmin 11.0.800 2009.07.26 -
K7AntiVirus 7.10.802 2009.07.25 -
Kaspersky 7.0.0.125 2009.07.26 -
McAfee 5689 2009.07.26 -
McAfee+Artemis 5689 2009.07.26 -
McAfee-GW-Edition 6.8.5 2009.07.26 -
Microsoft 1.4903 2009.07.26 -
NOD32 4279 2009.07.26 -
Norman 6.01.09 2009.07.24 -
nProtect 2009.1.8.0 2009.07.26 -
Panda 10.0.0.14 2009.07.26 -
PCTools 4.4.2.0 2009.07.26 -
Prevx 3.0 2009.07.26 -
Rising 21.39.62.00 2009.07.26 -
Sophos 4.44.0 2009.07.26 -
Sunbelt 3.2.1858.2 2009.07.26 -
Symantec 1.4.4.12 2009.07.26 -
TheHacker 6.3.4.3.373 2009.07.24 -
TrendMicro 8.950.0.1094 2009.07.25 -
VBA32 3.12.10.9 2009.07.26 -
ViRobot 2009.7.25.1853 2009.07.25 -
VirusBuster 4.6.5.0 2009.07.26 -

weitere Informationen
File size: 341504 bytes
MD5...: 62b0ad3209394ca4191206235337f341
SHA1..: 5e0ac09f0210284106f12419cd15308f8be8a58e
SHA256: 97d40da2f630857232c482282cbed67068370c28fa4f5ba5f4 0c9b9b7ec45f7e
ssdeep: 6144:Fx/TUkN0IxHdTJIwT7aJIr9yhuonddRiy8s+3kJ15w:Fx/TUdSewTpcvLsd<BR>UK<BR>
PEiD..: -
TrID..: File type identification<BR>DirectShow filter (77.7%)<BR>Win32 Executable MS Visual C++ (generic) (14.5%)<BR>Win32 Executable Generic (3.2%)<BR>Win32 Dynamic Link Library (generic) (2.9%)<BR>Generic Win/DOS Executable (0.7%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x13219<BR>timedatestamp.....: 0x4802bfc0 (Mon Apr 14 02:21:52 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x33954 0x33a00 6.62 ecafb9ab612880838f02e5ddfe4e4063<BR>.data 0x35000 0x41bc 0x2600 4.33 80d199700fb5081252764a7e5f09d7ac<BR>.rsrc 0x3a000 0x1a064 0x1a200 5.15 650a01013737c4fd9794852c2eabdf2d<BR>.reloc 0x55000 0x2fa2 0x3000 5.32 23d75f0953576fadddb7cbbf155859a3<BR><BR>( 9 imports ) <BR>&gt; ntdll.dll: RtlUnwind<BR>&gt; KERNEL32.dll: SetCurrentDirectoryW, LeaveCriticalSection, EnterCriticalSection, GetCurrentDirectoryW, RemoveDirectoryW, CreateThread, LocalFree, FormatMessageW, GetLastError, DeleteFileW, CopyFileW, DeleteCriticalSection, InitializeCriticalSection, DisableThreadLibraryCalls, InterlockedIncrement, InterlockedDecrement, FreeLibrary, GetProcAddress, LoadLibraryW, FindNextFileW, CloseHandle, CreateFileW, FileTimeToSystemTime, CreateDirectoryW, CompareFileTime, GetFileTime, lstrcmpiW, GlobalUnlock, GlobalLock, lstrcmpW, lstrcpynW, LocalAlloc, GetCalendarInfoW, TlsSetValue, TlsGetValue, TlsAlloc, TlsFree, GetDiskFreeSpaceExW, MultiByteToWideChar, lstrlenA, GetTempPathW, GetFileSizeEx, GetDriveTypeW, GlobalFree, lstrcpyW, GlobalAlloc, LocalFileTimeToFileTime, SystemTimeToFileTime, SetFileTime, GetFileInformationByHandle, GlobalSize, GetProcessHeap, HeapFree, HeapReAlloc, HeapAlloc, ReadFile, WriteFile, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetFileAttributesA, SetLastError, ExitProcess, GetModuleHandleA, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, FindFirstFileW, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, GetACP, GetOEMCP, GetCPInfo, UnhandledExceptionFilter, VirtualAlloc, LoadLibraryA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, InterlockedExchange, VirtualQuery, VirtualProtect, GetSystemInfo, GetTimeZoneInformation, SetFilePointer, SetStdHandle, FlushFileBuffers, CompareStringA, CompareStringW, SetEnvironmentVariableA, FindClose, GetFileAttributesW, SetFileAttributesW, lstrlenW, ExitThread, GetVolumeInformationA, SetFileAttributesA, CreateDirectoryA, LocalLock, LocalUnlock, lstrcmpiA, IsDBCSLeadByte, FindFirstFileA, FileTimeToDosDateTime, DeleteFileA, GlobalReAlloc, CreateFileA, GetDriveTypeA, GlobalHandle, SetUnhandledExceptionFilter, GetCurrentProcess, GetWindowsDirectoryW, TerminateProcess, GetSystemTimeAsFileTime, QueryPerformanceCounter, DosDateTimeToFileTime, FileTimeToLocalFileTime, GetTickCount, GetModuleFileNameW, lstrcmpA, MoveFileA, SetVolumeLabelA, FindNextFileA, GetDiskFreeSpaceA, RemoveDirectoryA, SetCurrentDirectoryA, GetTempFileNameA, GetCurrentProcessId, GetSystemWindowsDirectoryW, LoadLibraryExA, GetCurrentDirectoryA, GetEnvironmentStrings, GetFullPathNameA, GetFileSize, GetModuleHandleW<BR>&gt; GDI32.dll: GetStockObject, DeleteObject, GetDeviceCaps, CreateFontIndirectW<BR>&gt; USER32.dll: GetSubMenu, GetParent, SetWindowTextW, GetDlgItem, LoadStringW, SetWindowLongW, EndDialog, ShowCursor, DeleteMenu, CreateWindowExW, CharUpperBuffA, CharPrevA, CharNextA, DispatchMessageA, PeekMessageA, CharUpperA, MessageBoxA, GetActiveWindow, CharLowerA, CharToOemBuffA, CharToOemA, OemToCharBuffA, SetDlgItemTextW, GetDesktopWindow, DialogBoxParamW, LoadMenuW, SendDlgItemMessageW, RemoveMenu, GetForegroundWindow, TrackPopupMenu, RegisterClassW, DefWindowProcW, CharNextW, GetWindowLongW, SystemParametersInfoW, GetWindowRect, SetForegroundWindow, GetDlgItemTextW, InsertMenuW, RegisterClipboardFormatW, LoadCursorW, SetCursor, SetMenuDefaultItem, DestroyMenu, GetAsyncKeyState, CheckDlgButton, SetFocus, EnableWindow, GetWindowTextW, PeekMessageW, IsDialogMessageW, TranslateMessage, DispatchMessageW, MessageBoxW, ShowWindow, IsDlgButtonChecked, DestroyWindow, SendMessageW, PostMessageW<BR>&gt; ADVAPI32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey<BR>&gt; SHELL32.dll: -, SHGetPathFromIDListW, SHBrowseForFolderW, SHGetSpecialFolderLocation, SHGetFolderPathW, SHSetLocalizedName, -, -, -, SHGetFileInfoW, SHGetSpecialFolderPathW, -, DragQueryFileW, -, SHFileOperationW, -, -, -, -, -, -, -, ShellExecuteExW, ShellExecuteW, -, SHGetDesktopFolder, -, SHChangeNotify, SHGetMalloc<BR>&gt; ole32.dll: CreateBindCtx, CoInitializeEx, CoUninitialize, CoCreateInstance, ReleaseStgMedium, OleGetClipboard, CoTaskMemFree, OleSetClipboard<BR>&gt; OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -<BR>&gt; SHLWAPI.dll: wnsprintfW, PathAppendW, StrCpyNW, PathFileExistsW, PathRemoveBlanksW, SHStrDupW, PathFindFileNameW, StrChrW, PathFindExtensionW, PathCompactPathW, StrStrW, PathCombineW, PathCanonicalizeW, PathIsRelativeW, PathIsPrefixW, PathRemoveFileSpecW, PathSkipRootW, PathStripToRootW, -, StrFormatKBSizeW, PathFindFileNameA, StrCmpNIW, -, -, -, -, -, -, -, -, -, PathCommonPrefixW, PathRemoveBackslashW, PathCompactPathExW, StrCatBuffW, StrToIntW, StrRetToBufW<BR><BR>( 6 exports ) <BR>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, RegisterSendto, RouteTheCall<BR>
PDFiD.: -
RDS...: NSRL Reference Data Set<BR>-

Gruß
rhinozeros

Alt 27.07.2009, 09:02   #2
Larusso
/// Selecta Jahrusso
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



Moin und

Bitte arbeite alles der Reihe nach ab.
Bei Problemen bitte stoppen und das Problem so genau als möglich schildern.
Die dll scheint ja laut VT sauber zu sein, aber schauen wir uns das alles mal etwas genauer an.

schritt 1

Software deinstallieren

Deinstalliere bitte folgende Programme aus der Code-Box
Code:
ATTFilter
Spybot
HijackThis 1.99
         
Start--> Systemsteuerung--> Software
Nach der Bereinigung werden wir sehen, welche dieser Du wieder installieren kannst

schritt 2
  • Lade Random's System Information Tool (RSIT) herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt
PS: RSIT wird die neue Version von HijackThis downloaden, dies bitte zulassen.
__________________

__________________

Alt 27.07.2009, 09:09   #3
rhinozeros
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



Danke für die schnelle Antwort! Es wird aber bei mir kaum vor 13 h klappen mit dem Abarbeiten Deiner Tipps. Ich sitze momentan vor einem anderen Compter. Ich melde mich dann.

Gruß
rhinozeros
__________________

Alt 27.07.2009, 09:24   #4
Larusso
/// Selecta Jahrusso
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



Arbeite die Anweisungen dann ab, wenn Du Zeit dafür hast.
Ich werd sowieso erst am Abend wieder on sein, bei uns hat es kuschelige 32°

Der See ruft
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 27.07.2009, 12:16   #5
rhinozeros
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



info.txt:

info.txt logfile of random's system information tool 1.06 2009-07-27 13:14:33

======Uninstall list======

-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 3.13-->rundll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\7-zip.inf,SevenZip.Uninstall
Acronis Disk Director-->C:\Programme\Acronis\DiskDirector\MediaBuilder.exe -uninstall
Acronis*True*Image-->C:\Programme\Acronis\TrueImage\MediaBuilder.exe -uninstall
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Allway Sync version 9.2.2-->"C:\Programme\Allway Sync\unins000.exe"
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
Audacity 1.2.6-->"C:\Programme\Audacity\unins000.exe"
AutoIt v3.2.10.0-->C:\Programme\AutoIt3\Uninstall.exe
Brother 1230-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Brother\BRHL1230\DeIsL1.isu -cbrunin123.dll
Brownie-->C:\WINDOWS\IsUninst.exe -fC:\Programme\Brownie\Uninst.isu
Burnout 2.0-->C:\WINDOWS\wpktui10.exe "c:\programme\Burnout 2.0\wpktui.ui"
Canon iP4200-->C:\WINDOWS\system32\CNMCP78.exe "-PRINTERNAMECanon iP4200" "-HELPERDLLC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ\IJPrinter\CNMWINDOWS\Canon iP4200 Installer\Inst2\cnmis.dll" "-RCDLLcnmi0407.dll"
Canon Setup Utility 2.0-->"C:\Programme\Canon\Canon Setup Utility 2.0\Maint.exe" /Uninstall C:\Programme\Canon\Canon Setup Utility 2.0\uninst.ini
Canon Utilities Easy-PhotoPrint-->C:\Programme\Canon\Easy-PhotoPrint\uninst.exe uninst.ini
Canon Utilities Easy-PrintToolBox-->C:\WINDOWS\BJPSUNST.EXE
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
CD-LabelPrint-->"C:\Programme\Canon\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application
Cisco Systems VPN Client 5.0.00.0340-->MsiExec.exe /X{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}
ClearProg 1.4.1 Final-->C:\Programme\ClearProg\Uninstall.exe
Clipboard Manager 2.0-->C:\PROGRA~1\ClipMan\UNWISE.EXE C:\PROGRA~1\ClipMan\INSTALL.LOG
C-Media High Definition Audio Driver-->C:\WINDOWS\system32\cmirmdrv.exe
CombiMovie Version 1.3-->C:\Programme\CombiMovie\unins000.exe
Creatix V.92 Data Fax Modem-->agrsmdel
Cuttermaran 1.69-->MsiExec.exe /I{8F4FEA1B-1861-457B-8CBB-679C5940C5C2}
DeskTimer Version 2.73-->"C:\Programme\Desk-Timer\unins000.exe"
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Pro-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DVD Shrink 3.2-->"C:\Programme\DVD Shrink\unins000.exe"
Easy-WebPrint-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Canon\Easy-WebPrint\Uninst.isu
Empty Temp Folders 2.8.3-->C:\Programme\Empty Temp Folders 2.8.3\uninstall.exe
FileNote (Remove Only)-->C:\Programme\FileNote\Uninstall.exe C:\PROGRA~1\FileNote\Install.log
FLAC 1.2.1b (remove only)-->C:\Programme\FLAC\uninstall.exe
foobar2000-->"C:\Programme\foobar2000\uninstall.exe"
Foxit Reader-->C:\Programme\Foxit Reader\Uninstall.exe
Google Toolbar for Internet Explorer-->"C:\Programme\Google\Google Toolbar\Component\GoogleToolbarManager_9DE96A29E721D90A.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Hauppauge German Help Files and Resources-->C:\PROGRA~1\WinTV\UNHLPdeu.EXE C:\PROGRA~1\WinTV\WTV2Kdeu.LOG
Hauppauge MediaMVP-->C:\PROGRA~1\HAUPPA~1\UNWISE.EXE C:\PROGRA~1\HAUPPA~1\INSTALL.LOG
Hauppauge WinTV DVB-T EPG Service-->C:\WINDOWS\system32\UNWISE.EXE C:\WINDOWS\system32\UnEPGService.LOG
Hauppauge WinTV Infrared Remote-->C:\PROGRA~1\WinTV\UNir32.EXE C:\PROGRA~1\WinTV\ir32.LOG
Hauppauge WinTV Scheduler-->C:\PROGRA~1\WinTV\\SCHEDU~1\uniSCHED.exe C:\PROGRA~1\WinTV\\SCHEDU~1\uniSCHED.log
Hauppauge WinTV TV Services-->C:\PROGRA~1\WinTV\uniTvSrv.exe C:\PROGRA~1\WinTV\UniTVSrv.LOG
Hauppauge WinTV-->C:\PROGRA~1\WinTV\UNTV6.EXE C:\PROGRA~1\WinTV\WINTV6.LOG
HeleCABCompresor - Uninstall/Unregister-->C:\Programme\HeleSoft\HeleCABCompresor\Uninstall.exe
Hex-Editor MX-->"C:\Programme\Hex-Editor MX\unins000.exe"
High Definition Audio Driver Package - KB835221-->C:\WINDOWS\$NtUninstallKB835221WXP$\spuninst\spuninst.exe
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs-->MsiExec.exe /X{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ID3-TagIT 3-->"C:\Programme\ID3-TagIT 3\unins000.exe"
Informationen über Ihren PC-->MsiExec.exe /I{3D1A6B70-3E02-49BC-88B0-916C80274632}
IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe
IsoBuster 1.6-->C:\Programme\IsoBuster\Uninst\unins000.exe
J2SE Runtime Environment 5.0 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150010}
jv16 PowerTools 1.3-->"C:\Programme\jv16 PowerTools\unins000.exe"
LetsTrade Komponenten-->C:\WINDOWS\fpuninst.exe -uninstall:"C:\Programme\LetsTrade\uninst\uninst.ini"
LIDL Fotoservice-->"C:\Programme\LIDL Fotoservice\unins000.exe"
Lupas Rename 2000 v5.0 Release-->"C:\Programme\Lupas Rename 2000\unins000.exe"
Macromedia Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
McAfee VirusScan-->MsiExec.exe /I{39C30C0D-01B0-4AF8-8FB9-18B749CD3542}
MediaCoder 0.6.0-->C:\Programme\MediaCoder\uninst.exe
Meteo Fusion 1.5.9.11-->"C:\Programme\Meteo Fusion\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft .NET Framework 3.0 German Language Pack-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 German Language Pack\setup.exe
Microsoft .NET Framework 3.0 German Language Pack-->MsiExec.exe /X{F2A7F421-1679-48D5-B918-96999014ED53}
Microsoft .NET Framework 3.0-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
Microsoft AutoRoute 2005-->MsiExec.exe /I{67E4EE98-59F4-4220-89A6-A20AF5BEC689}
Microsoft Encarta Enzyklopädie 2005-->MsiExec.exe /I{05440044-64A6-4248-A026-9745C1E9E159}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office 2000 Disc 2-->MsiExec.exe /I{00040407-78E1-11D2-B60F-006097C998E7}
Microsoft Office 2000 Professional-->MsiExec.exe /I{00010407-78E1-11D2-B60F-006097C998E7}
Microsoft Picture It! Foto Premium 10-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\Picture It!\RmvSuite.exe" ADDREMOVE=1 SKU=PREM
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Windows-Journal-Viewer-->MsiExec.exe /X{43DCF766-6838-4F9A-8C91-D92DA586DFA7}
Microsoft Word 2002-->MsiExec.exe /I{911B0407-6000-11D3-8CFE-0050048383C9}
Microsoft Works Suite-Add-Ins für Microsoft Word-->MsiExec.exe /I{C6A12D9B-D86A-4ee6-B980-95E4B26A2E13}
Microsoft Works-->MsiExec.exe /I{B26E3B0D-C2FA-4370-B068-7C476766F029}
Monkey's Audio-->"C:\Programme\Monkey's Audio\unins000.exe"
Mozilla Thunderbird (2.0.0.22)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
MP3 Clipper and Joiner 1.0-->"C:\Programme\MP3 Clipper and Joiner\unins000.exe"
MP3 Repair Tool v1.5.2-->"C:\Programme\MP3 Repair Tool\unins000.exe"
MP3-Info extension V3.4.21-->C:\Programme\MP3ext\unins000.exe
Mp3tag-->C:\Programme\Mp3tag\Mp3tagUninstall.EXE
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero OEM-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
Noiseware Community Edition-->MsiExec.exe /I{CB3B7C24-30A1-4961-8039-94919F5ED2EE}
NTREGOPT 1.1j-->"C:\Programme\NT Registry Optimizer\unins000.exe"
One-Click-Privacy-->C:\WINDOWS\st6unst.exe -n "C:\Programme\One-Click-Privacy\ST6UNST.LOG"
Opera 9.64-->MsiExec.exe /X{E1BBBAC5-2857-4155-82A6-54492CE88620}
Password Safe-->"C:\Programme\Password Safe\Uninstall.exe"
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
Phoenix Mail 2003 Suite-->C:\Programme\Phoenix Mail\SuiteUninst.exe
Picasa 3-->"C:\Programme\Picasa3\Uninstall.exe"
QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
rjhExtensions-->C:\PROGRA~1\RJHEXT~1\UNWISE.EXE C:\PROGRA~1\RJHEXT~1\INSTALL.LOG
SafeGuard® PrivateCrypto 2.01.0-->MsiExec.exe /X{3FBC1C75-430B-11D6-BEB0-00A0244C457F}
Screen Paver Screen Saver-->C:\WINDOWS\ScreenPaver.scr -u
Setup-Start von Microsoft Works 2005-->C:\Programme\Microsoft Works Suite 2005\Setup\Launcher.exe /ARP H:\
Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~2\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~2\Install.log
Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Spybot - Search & Destroy 1.5.2.20-->"C:\WINDOWS\unins000.exe"
Steganos Safe 7.1.6-->MsiExec.exe /I{00000000-5736-4205-1000-49529ABFBDC3}
TELL ME MORE-->"C:\Programme\TELL ME MORE Performance\Bin\unsetup.exe" -file "C:\Programme\TELL ME MORE Performance\unsetup.aui"
teXXas-->"C:\Programme\teXXas\Uninstall.exe" "C:\Programme\teXXas\install.log"
Unlocker 1.8.5-->C:\Programme\Unlocker\uninst.exe
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
USB drive letter manager-->MsiExec.exe /X{C256573D-B3CE-4256-BEA2-217C8B211DD5}
Visual CD-->"C:\Programme\Visual CD\unins000.exe"
VTPlus32 für WinTV (German)-->C:\PROGRA~1\vtplus\UNVTplus.exe C:\PROGRA~1\vtplus\VTPlus.LOG
WavePurity-->C:\Programme\WavePurity\WavePurityLight.exe /u
Weight Watchers FlexPoints-->"C:\Programme\Weight Watchers FlexPoints\UninstallerData\Uninstall FlexPoints.exe"
Winamp-->"C:\Programme\Winamp\UninstWA.exe"
Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Media Connect-->msiexec.exe /I {F6869CD2-3DB4-476D-A4C7-B3AE7C3ACF7B}
Windows Media Connect-->MsiExec.exe /I{F6869CD2-3DB4-476D-A4C7-B3AE7C3ACF7B}
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Presentation Foundation Language Pack (DEU)-->MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation DE Language Pack-->MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}
Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Windows-Sicherungsprogramm-->MsiExec.exe /I{76EFFC7C-17A6-479D-9E47-8E658C1695AE}
WinExit-Pro-->MsiExec.exe /I{E2354269-C89A-4323-B80F-B0DD65FBA5EB}
X10 Hardware(TM)-->C:\WINDOWS\UNWISE.EXE C:\PROGRA~1\X10HAR~1\Install.log
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XMPEG 5.0-->C:\Programme\XMPEG\uninst.exe
Zinf 2.2.1-->C:\PROGRA~1\Zinf\UNWISE.EXE C:\PROGRA~1\Zinf\INSTALL.LOG

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======System event log======

Computer Name: NAME-7340A84D73
Event Code: 20158
Message: Der Benutzer "rz-614931@versatel" hat eine Verbindung mit "Versatel DSL" hergestellt, unter Verwendung des Geräts "PPPoE5-0".

Record Number: 40099
Source Name: RemoteAccess
Time Written: 20090710142445.000000+120
Event Type: Informationen
User:

Computer Name: NAME-7340A84D73
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet".

Record Number: 40098
Source Name: Service Control Manager
Time Written: 20090710142412.000000+120
Event Type: Informationen
User:

Computer Name: NAME-7340A84D73
Event Code: 7036
Message: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt".

Record Number: 40097
Source Name: Service Control Manager
Time Written: 20090710142408.000000+120
Event Type: Informationen
User:

Computer Name: NAME-7340A84D73
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "SSDP-Suchdienst" gesendet.

Record Number: 40096
Source Name: Service Control Manager
Time Written: 20090710142408.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: NAME-7340A84D73
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 40095
Source Name: Service Control Manager
Time Written: 20090710142406.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: NAME-7340A84D73
Event Code: 4550
Message: Bei den .DAT- und Modulversionen auf dem System (5586 und 5300) handelt es sich um die neusten Versionen.

Record Number: 5
Source Name: McUpdate
Time Written: 20090417160207.000000+120
Event Type: Informationen
User:

Computer Name: NAME-7340A84D73
Event Code: 4570
Message: AutoUpdate-Task gestartet.

Record Number: 4
Source Name: McUpdate
Time Written: 20090417160205.000000+120
Event Type: Informationen
User:

Computer Name: NAME-7340A84D73
Event Code: 5000
Message: VirusScan McShield-Dienst wurde gestartet - Suche nach 520846 Viren.

Modul-Version: 5.3.00

.DAT-Version: 5586



EXTRA.DAT-Name: None

Anzahl an Virussignaturen in EXTRA.DAT: None

Namen der Viren, die von EXTRA.DAT erkannt werden: None

Record Number: 3
Source Name: McLogEvent
Time Written: 20090417155242.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: NAME-7340A84D73
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 2
Source Name: SecurityCenter
Time Written: 20090417155106.000000+120
Event Type: Informationen
User:

Computer Name: NAME-7340A84D73
Event Code: 1802
Message: Das Windows-Sicherheitscenter konnte keine Ereignisabfragen mit der WMI herstellen, um Antivirus- und Firewallprogramme von Drittanbietern zu überwachen.

Record Number: 1
Source Name: SecurityCenter
Time Written: 20090417155106.000000+120
Event Type: Fehler
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 3, GenuineIntel
"PROCESSOR_REVISION"=0403
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------


Alt 27.07.2009, 12:34   #6
rhinozeros
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



log.txt (der Übersichtlichkeit halber in einem Extraposting, da ich mich auf meinem Computer mit meinem Nachnamen einlogge, habe diesen ersetzt durch "mein name")

Logfile of random's system information tool 1.06 (written by random/random)
Run by mein name at 2009-07-27 13:14:10
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 5 GB (26%) free of 20 GB
Total RAM: 1023 MB (18% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:14:31, on 27.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\HAUPPA~1\MVPStart.exe
C:\Programme\USBDLM\USBDLM.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ClipMan\Clipman.exe
C:\Programme\Desk-Timer\DeskAlarm.exe
C:\Programme\TClock\tclock2.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Meteo Fusion\Meteo Fusion.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Opera\opera.exe
C:\Programme\SpeedProject\SpeedCommander 8\SpeedCommander.exe
C:\Temp\RSIT.exe
C:\Programme\trend micro\mein name.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SAFE7] "C:\Programme\Steganos Safe 7\SAFE7.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SAFE7] "C:\Programme\Steganos Safe 7\SAFE7.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SAFE7] "C:\Programme\Steganos Safe 7\SAFE7.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SAFE7] "C:\Programme\Steganos Safe 7\SAFE7.exe" -firstboot (User 'Default user')
O4 - Global Startup: Autostart.lnk = C:\Programme\RunCMD\CMD\Autostart.cmd
O4 - Global Startup: Versatel DSL.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Add to MVP Favorite Radio Stations - C:\Programme\Hauppauge MediaMVP\mvp.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199381810984
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC32E40C-7D6A-4C7B-8C3B-8923F7D8B79E}: NameServer = 82.144.41.8 82.145.9.8
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: MVPMedia - Hauppauge Computer Works - C:\PROGRA~1\HAUPPA~1\MVPStart.exe
O23 - Service: MVPMediaSvc - Hauppauge Computer Works, Inc. - C:\PROGRA~1\HAUPPA~1\Hardware\DglSvcMain.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
O23 - Service: USBDLM - Uwe Sieber - www.uwe-sieber.de - C:\Programme\USBDLM\USBDLM.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8241 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\winver.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll [2009-07-25 259696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll [2009-06-19 669168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
Google Dictionary Compression sdch - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll [2009-05-10 470512]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Easy-WebPrint - C:\Programme\Canon\Easy-WebPrint\Toolband.dll [2004-08-26 405504]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll [2009-07-25 259696]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [2005-01-12 344064]
"Dit"=Dit.exe []
"UnlockerAssistant"=C:\Programme\Unlocker\UnlockerAssistant.exe [2006-09-07 15872]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe [2008-01-06 65536]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis*True*Image Monitor]
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe [2008-01-06 505319]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
AGRSMMSG.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLMIcon]
[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
RunDll32 cmicnfg.cpl,CMICtrlWnd []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Desk-timer]
C:\Programme\Desk-Timer\Desk-Timer.exe [2007-01-04 4084224]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPGServiceTool]
C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe [2008-04-17 688128]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Keyboard Status]
[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
C:\Programme\Ahead\Nero BackItUp\NBJ.exe [2006-09-15 2048000]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2006-01-12 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
C:\Programme\Home Cinema\PowerCinema\PCMService.exe [2005-02-21 118926]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SAFE7]
C:\Programme\Steganos Safe 7\SAFE7.exe [2005-05-02 274432]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-10-31 68856]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^mein name^Startmenü^Programme^Autostart^Wallpaper Aktualisieren.lnk]
C:\PROGRA~1\DESK-T~1\DESK-T~1.EXE [2007-01-04 4084224]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Autostart.lnk - C:\Programme\RunCMD\CMD\Autostart.cmd
Versatel DSL.lnk -
VPN Client.lnk - C:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\System32\Ati2evxx.dll [2005-01-12 94208]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=157

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger"
"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Faxkonsole"
"C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe"="C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:enabled:BlueSoleil (BlueTooth)"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\SpeedProject\SpeedCommander 8\SpeedCommander.exe"="C:\Programme\SpeedProject\SpeedCommander 8\SpeedCommander.exe:*:Enabled:SpeedCommander"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Zinf\zinf.exe"="C:\Programme\Zinf\zinf.exe:*:Enabled:Zinf"
"C:\Programme\Winamp\winamp.exe"="C:\Programme\Winamp\winamp.exe:*:Enabled:Winamp"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger"
"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Faxkonsole"
"C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe"="C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:enabled:BlueSoleil (BlueTooth)"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\B]
shell\AutoRun\command - B:\AurLaunch\LaunchScreen.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{176ebe7a-8522-11d9-8a7e-001109df94c7}]
shell\AutoRun\command - K:\OEMBranding.exe


======File associations======

.cmd - open - C:\Programme\RunCMD\R.exe "%1" %2 %3 %4 %5 %6 %7 %8 %9
.cmd - edit -

======List of files/folders created in the last 1 months======

2009-07-27 13:14:11 ----D---- C:\Programme\trend micro
2009-07-27 13:14:10 ----D---- C:\rsit
2009-07-27 08:14:38 ----D---- C:\Temp
2009-07-26 19:38:43 ----A---- C:\WINDOWS\system32\zipfldr Version 6.00.2900.2180.dll
2009-07-24 23:18:54 ----D---- C:\!KillBox
2009-07-24 23:17:40 ----D---- C:\Programme\killbox
2009-07-21 21:52:31 ----A---- C:\trace.ini
2009-07-16 20:21:02 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-16 20:20:55 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-16 20:18:46 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-07-15 08:28:12 ----D---- C:\WINDOWS\Temp

======List of files/folders modified in the last 1 months======

2009-07-27 13:14:12 ----D---- C:\WINDOWS\Prefetch
2009-07-27 13:14:11 ----RD---- C:\Programme
2009-07-27 13:12:36 ----D---- C:\WINDOWS
2009-07-27 13:06:24 ----D---- C:\Programme\WinTV
2009-07-27 13:06:20 ----D---- C:\Programme\Hauppauge MediaMVP
2009-07-27 13:05:10 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-27 13:04:23 ----D---- C:\WINDOWS\system32\config
2009-07-27 12:25:52 ----D---- C:\Programme\CCleaner
2009-07-27 12:22:17 ----D---- C:\Programme\_Spybot - Search & Destroy
2009-07-27 12:22:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-27 08:51:38 ----A---- C:\virus.txt
2009-07-27 08:14:52 ----D---- C:\Programme\Phoenix Mail
2009-07-27 08:14:45 ----D---- C:\Programme\jv16 PowerTools
2009-07-26 19:38:43 ----D---- C:\WINDOWS\system32
2009-07-26 19:37:19 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-26 19:21:16 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-26 15:04:12 ----D---- C:\Programme\teXXas
2009-07-26 14:51:18 ----A---- C:\WINDOWS\win.ini
2009-07-26 10:54:50 ----ASH---- C:\boot.ini
2009-07-26 10:54:50 ----A---- C:\WINDOWS\system.ini
2009-07-25 22:15:11 ----D---- C:\Programme\Mozilla Thunderbird
2009-07-25 18:41:36 ----SHD---- C:\WINDOWS\Installer
2009-07-25 18:36:19 ----HD---- C:\WINDOWS\inf
2009-07-25 18:33:50 ----D---- C:\WINDOWS\SoftwareDistribution
2009-07-25 17:49:59 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-25 14:25:32 ----D---- C:\Programme\JKDefrag
2009-07-22 12:03:45 ----D---- C:\Programme\Steganos Safe 7
2009-07-16 23:19:27 ----D---- C:\WINDOWS\Debug
2009-07-16 21:28:35 ----D---- C:\Programme\Password Safe
2009-07-16 20:21:02 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-16 20:20:59 ----A---- C:\WINDOWS\imsins.BAK
2009-07-11 23:42:06 ----SD---- C:\WINDOWS\Tasks
2009-07-11 23:41:54 ----A---- C:\WINDOWS\HCWPNP.INI
2009-07-11 14:05:31 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-11 14:02:13 ----D---- C:\Dokumente und Einstellungen\mein name\Anwendungsdaten\CyberLink
2009-07-07 19:26:03 ----D---- C:\Programme\MP3 Trim Pro 1.80
2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-05 18:20:01 ----D---- C:\Programme\Weight Watchers FlexPoints
2009-06-30 22:35:46 ----D---- C:\Programme\LIDL Fotoservice

Alt 27.07.2009, 12:35   #7
rhinozeros
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



Zu lang, ich mußte teilen, hier der 2. Teil von log.txt:


======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.0.0.5; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2005-01-27 15939]
R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys []
R2 SLEE_81_DRIVER;Steganos Live Encryption Engine 8.1 [Driver]; \??\C:\WINDOWS\system32\drivers\SLEE81.sys []
R2 tifsfilter;Acronis TrueImage FS Filter; C:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2008-01-06 28064]
R3 3xHybrid;3xHybrid service; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-02-09 666368]
R3 AgereSoftModem;Creatix V.92 Data Fax Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2004-10-08 1270540]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2005-01-12 915968]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
R3 BlueletAudio;Bluetooth Audio Service; C:\WINDOWS\system32\DRIVERS\blueletaudio.sys [2004-10-19 20096]
R3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:\WINDOWS\System32\Drivers\btcusb.sys [2004-12-01 22488]
R3 BTHidEnum;Bluetooth HID Enumerator; C:\WINDOWS\system32\DRIVERS\vbtenum.sys [2005-01-13 12500]
R3 cmudax;C-Media High Definition Audio Interface; C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 1272000]
R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2007-01-31 127376]
R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5b.sys [2004-04-15 42496]
R3 hcw95bda;Hauppauge MOD7700 Tuner Driver; C:\WINDOWS\System32\Drivers\hcw95bda.sys [2008-04-17 560640]
R3 hcw95rc;Hauppauge MOD7700 IR Driver; C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2008-04-17 15616]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
R3 NaiFiltr;NaiFiltr; \??\C:\Programme\Gemeinsame Dateien\Network Associates\McShield\NaiFiltr.sys []
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-08-04 5888]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 VComm;Virtual Serial port driver; C:\WINDOWS\system32\DRIVERS\VComm.sys [2004-10-19 61312]
R3 VcommMgr;Bluetooth VComm Manager Service; C:\WINDOWS\System32\Drivers\VcommMgr.sys [2004-11-05 82148]
R3 wbscr;Winbond Smartcard Reader for I/O; C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 19928]
R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2004-01-16 17408]
S3 61883;61883-Einheitsgerät; C:\WINDOWS\system32\DRIVERS\61883.sys [2008-04-13 48128]
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 Avc;AVC-Gerät; C:\WINDOWS\system32\DRIVERS\avc.sys [2008-04-13 38912]
S3 BrPar;BrPar; C:\WINDOWS\System32\drivers\BrPar.sys [2000-07-24 19537]
S3 BT;Bluetooth PAN Network Adapter; C:\WINDOWS\system32\DRIVERS\btnetdrv.sys [2004-09-21 10804]
S3 BTNetFilter;Bluetooth Network Filter; \??\C:\WINDOWS\system32\drivers\BTNetFilter.sys []
S3 CardReaderFilter;Card Reader Filter; \??\C:\WINDOWS\system32\Drivers\USBCRFT.SYS []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI; C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416]
S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2004-03-17 113664]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-13 15232]
S3 MSDV;Microsoft DV Camera and VCR; C:\WINDOWS\system32\DRIVERS\msdv.sys [2008-04-13 51200]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
S3 NTSIM;NTSIM; \??\C:\WINDOWS\system32\ntsim.sys []
S3 portio;portio; C:\WINDOWS\system32\drivers\portio.sys []
S3 RT2500USB;RT2500 USB Wireless LAN Driver; C:\WINDOWS\system32\DRIVERS\rt2500usb.sys [2004-12-03 140544]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 vsdatant;vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys []
S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys []
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-01-12 425984]
R2 AvSynMgr;AVSync Manager; C:\Programme\Network Associates\VirusScan\Avsynmgr.exe [2001-11-26 155665]
R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2007-04-03 1516584]
R2 EPGService;EPGService; C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe [2008-04-09 436224]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2003-06-20 322120]
R2 MVPMedia;MVPMedia; C:\PROGRA~1\HAUPPA~1\MVPStart.exe [2004-05-04 65536]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 38912]
R2 USBDLM;USBDLM; C:\Programme\USBDLM\USBDLM.exe [2008-09-18 156160]
R3 McShield;McShield; C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe [2001-11-26 225403]
S2 MVPMediaSvc;MVPMediaSvc; C:\PROGRA~1\HAUPPA~1\Hardware\DglSvcMain.exe [2004-01-20 192597]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 BlueSoleil Hid Service;BlueSoleil Hid Service; C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe [2004-12-24 106496]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 CyberLink Media Library Service;CyberLink Media Library Service; C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe [2005-02-21 61440]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-10 182768]
S3 HauppaugeTVServer;HauppaugeTVServer; C:\PROGRA~1\WinTV\HCWTVS~1.EXE [2008-03-31 815104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S3 SLEE_81_SERVICE;Steganos Live Encryption Engine 8.1 [Service]; C:\WINDOWS\system32\SLEE81.exe [2005-05-02 36864]
S3 WmcCds;Windows Media Connect (WMC); c:\programme\windows media connect\mswmccds.exe [2004-08-11 483328]
S3 WmcCdsLs;Windows Media Connect-Hilfsprogramm; C:\Programme\Windows Media Connect\mswmcls.exe [2004-08-10 28160]
S3 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]
S4 AcrSch2Svc;Acronis Scheduler2 Service; C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [2008-01-06 114688]
S4 CLCapSvc;CyberLink Background Capture Service (CBCS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe [2005-02-21 184399]
S4 CLSched;CyberLink Task Scheduler (CTS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe [2005-02-21 110669]
S4 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]

-----------------EOF-----------------

Uff, da willst Du jetzt irgendwas erkennen? Ville Vagnügen, ick vastehe imma bloß Bahnhof!

Ich muß um 4 h hier weg bin dann erst wieder so gegen 11 da. Ich guck dann mal hier rein und mache dann noch was, falls nötig.

Gruß
rhinozeros

Alt 27.07.2009, 12:37   #8
rhinozeros
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



Deine Liste ließ sich übrigens problemlos abarbeiten.

Viel Spaß beim Baden!

Alt 27.07.2009, 17:12   #9
john.doe
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



*hust hust*
http://forum.chip.de/viren-trojaner-wuermer/spybot-search-destroy-meldet-virtumonde-dll-1256777.html

cioa, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 27.07.2009, 17:28   #10
Larusso
/// Selecta Jahrusso
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



Hy
Das ist ja noch eine kurze Logfile


Was ist bitte Laufwerk K: ?
Ist Dir diese K:\OEMBranding.exe bekannt?
Sieht aber so aus als gehört die zu Nero OEM

Poste bitte den Inhalt von C:\virus.txt

Spybot ist immer noch was am System zu finden, bitte über Start --> Systemsteuerung --> Software deinstallieren.

Bitte schliesse alle externen Laufwerke an


schritt 1

Wende bitte Malwarebytes nach Anleitung an.


schritt 2

Einträge mit HijackThis fixen

Starte HijackThis-->do a scan only-->setze ein Häckchen bei den Einträgen aus der Code-Box
Code:
ATTFilter
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O4 - Global Startup: Versatel DSL.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199381810984
         
Nun auf Fix checked klicken
Rechner neu starten

schritt 3

lösche bitte unter C:\RSIT die log.txt und die info.txt
Doppelklick auf die RSIT.exe

poste bitte
beide Logfiles von RSIT
Logfile von Malwarebytes
inhalt von virus.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 27.07.2009, 17:31   #11
Larusso
/// Selecta Jahrusso
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



Danke Andreas

@ rhinozeros

Das Hilfesuchen auf mehreren Boards wird nicht gerne gesehen, ist kontraproduktiv und nicht ungefährlich.
Es steht auch Dir nicht die Zeit von 2 oder mehreren Helfern zu.
entscheide dich für ein Board und beende am anderen den Thread offiziell.

Würdest Du auch in mehreren Boards fragen, wenn Du dafür bezahlen müsstest
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 27.07.2009, 23:23   #12
rhinozeros
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



Da momentan Malwarebyte läuft, einiges zu den Problemen am Rande:

Zitat:
Zitat von Larusso Beitrag anzeigen
Danke Andreas

@ rhinozeros

Das Hilfesuchen auf mehreren Boards wird nicht gerne gesehen, ist kontraproduktiv und nicht ungefährlich.
Es steht auch Dir nicht die Zeit von 2 oder mehreren Helfern zu.
entscheide dich für ein Board und beende am anderen den Thread offiziell.

Würdest Du auch in mehreren Boards fragen, wenn Du dafür bezahlen müsstest
Ich finde eigentlich nichts Verwerfliches daran, mehrere Leute um Rat zu fragen, insbesondere dann nicht, wenn man den zweiten fragt, nachdem offensichtlich geworden ist, daß der erste keinen Rat weiß (was um Gottes Willen kein Vorwurf an das Forum von chip.de sein soll). Ich habe mir ja deshalb auch, vorsichtig ausgedrückt, keine besondere Mühe gegeben, zu verbergen, daß ich hier einen 2. Anlauf mache. Es ist selbstverständlich, daß bei 2 Handlungsanweisungen ich nur einer gefolgt wäre, aber genau dieser Fall ist ja von vornherein nicht eingetreten. Hätte auch gar nicht eintreten können, denn wenn bei chip.de etwas produktives rausgekommen wäre, wäre ich nicht hier gelandet.

Ich weiß ehrlich gesagt nicht, wie ich im Chip-Forum einen Thread offiziell beende. Daß dieser Thread aber de facto tot ist, hätte john.doe auch auffallen können. *hust hust*

Zitat:
Würdest Du auch in mehreren Boards fragen, wenn Du dafür bezahlen müsstest
Ja, aber immer eins nach dem anderen, und in diesem Fall hätte ich außerdem dem ersten Board kein Geld bezahlt oder einen eventuellen Vorschuß zurückverlangt.

Zitat:
Was ist bitte Laufwerk K: ? Ist Dir diese K:\OEMBranding.exe bekannt?
Mein Computer hat so ein Teil, in daß man Speicherkarten von digitalen Fotoapparaten stecken kann. Normalerweise ist dieses Teil deaktiviert, weil ich meine Fotoapparat per USB-Kabel mit dem Computer verbinde. K: ist im Fall einer Aktivierung des Kartenlesers das Laufwerk für CompactFlash-Karten.

K:\OEMBranding.exe? Keine Ahnung! In dem Laufwerk gab es bisher nur jpg-Dateien, auf jeden Fall nie eine exe.

Gleich darüber steht in der log.txt folgendes: B:\AurLaunch\LaunchScreen.exe. Ebenso keine Ahnung, ein Laufwerk B: hat es in diesem Computer definitiv nie gegeben.

Spybot hatte ich deinstalliert über den uninstall-Eintrag im Start-Menü. Außerdem lasse ich nach einer Deinstallation immer CCleaner über die Registry laufen, weil grundsätzlich nach einer Deinstallationsroutine etwas übrig bleibt. So auch diesmal. Offensichtlich hat auch CCleaner nicht alles gefunden. Der Eintrag in der Systemsteuerung (Start --> Systemsteuerung --> Software deinstallieren) existierte auch noch, den habe ich eben per Doppelklick aufgerufen. Jetzt ist er weg und vielleicht noch ein paar andere Sachen von Spybot, mal sehen.

So, jetzt warte ich erstmal das Ende des Malwarebyte-Scans ab (läuft jetzt schon 40 Minuten), und dann kommt der Rest an die Reihe.

Gruß
rhinozeros

Alt 27.07.2009, 23:42   #13
john.doe
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



Quelle: Netikette und Crossposting

Zitat:
Crossposting bedeutet, dass ein und dieselbe Frage in mehreren Foren und Newsgroups gleichzeitig gestellt wird. Ein solches Verhalten wird von den meisten Helfern nicht toleriert, denn damit stellst Du einerseits die Kompetenz der Helfer jedes einzelnen Forums und Newsgroup in Frage und bewirkst zudem, dass ein zig-faches an Stunden aufgewendet wird, um nur ein einziges Problem zu lösen, denn überall werden sich die Helfer daran setzen, eine Lösung für Dich zu finden. Das ist ganz klar ein Missbrauch an dem kostenlosen und freiwilligen Support, der hier angeboten wird. Such Dir eine einzige Newsgroup aus. Wenn Deine Frage klar und deutlich gestellt wurde, dann wirst Du ganz bestimmt innert kürzester Zeit eine Antwort erhalten. Sollte dies auch nach mehreren Tagen nicht der Fall sein, dann versuche bitte die Frage besser zu formulieren. Falls Du dennoch in einem zweiten Forum posten solltest, erwähne bitte, dass Du die Frage schon woanders gestellt hast, und dass Du es tust, weil keine Lösung gefunden werden konnte.
Quelle: http://www.trojaner-board.de/extra/impressum.html#NUB
Zitat:
Crosspostings sind nicht erwünscht und werden gelöscht!
Du bist entlassen und ich bin raus,
andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 27.07.2009, 23:45   #14
Larusso
/// Selecta Jahrusso
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



Zitat:
Mein Computer hat so ein Teil, in daß man Speicherkarten von digitalen Fotoapparaten stecken kann. Normalerweise ist dieses Teil deaktiviert, weil ich meine Fotoapparat per USB-Kabel mit dem Computer verbinde. K: ist im Fall einer Aktivierung des Kartenlesers das Laufwerk für CompactFlash-Karten.

K:\OEMBranding.exe? Keine Ahnung! In dem Laufwerk gab es bisher nur jpg-Dateien, auf jeden Fall nie eine exe.
Oder doch

Anleitung zum Neu aufsetzten

ich bin raus
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 28.07.2009, 00:17   #15
rhinozeros
 
Spybot Search & Destroy meldet Virtumonde.dll - Standard

Spybot Search & Destroy meldet Virtumonde.dll



der Malwarebytes-Log:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2514
Windows 5.1.2600 Service Pack 3

28.07.2009 00:55:19
mbam-log-2009-07-28 (00-55-19).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|L:\|M:\|)
Durchsuchte Objekte: 277667
Laufzeit: 1 hour(s), 6 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\helecabcompresor (Backdoor.SdBot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\HeleSoft\helecabcompresor\Uninstall.exe (Backdoor.SdBot) -> Quarantined and deleted successfully.
e:\Software\Musik\wavepurity\2003-0416-A007-ENHA.exe (Backdoor.SdBot) -> Quarantined and deleted successfully.



Falls ich als Laie mir mal einen Kommentar erlauben darf: Blödsinn. Ich weiß, das ist eine überhebliche Anmaßung, aber das mußte mal raus.

Helecabcompressor ist ein Programm, um Dateien und Verzeichnisse als cab-Dateien zu komprimieren. Habe ich jahrelang benutzt, da es eine sehr effektive Komprimierung erlaubt. Bin jetzt auf 7-zip umgestiegen und habe vergessen, Helecab zu deinstallieren. Wird nachgeholt.
http://www.helesic.cz/en/helecabcompresor.php#cabcompresor

2003-0416-A007-ENHA.exe ist eine Datei, mit der das kostenpflichtige Enhancer-PlugIn für Wavepurity aktiviert wird. www.wavepurity.de. Wavepurity und das PlugIn habe ich 2002 gekauft. 2009 soll es Backdoor sonstwas sein! Nee, det glob ick nich!

Antwort

Themen zu Spybot Search & Destroy meldet Virtumonde.dll
64 bit, antivirus, artemis, bho, computer, d-sub, defender, e-banking, error, explorer, festplatte, focus, gen 2, google, hijack, home, internet, internet explorer, locker, ntdll.dll, popups, problem, prozessor, registry, s-ata, sekunden, shell32.dll, software, system, temp, updates, usb, usb 2.0, virtumonde.dll, windows, windows xp, wlan



Ähnliche Themen: Spybot Search & Destroy meldet Virtumonde.dll


  1. Spybot Search and Destroy seltsame Ergebnisse
    Log-Analyse und Auswertung - 22.04.2015 (3)
  2. Spybot-Search & Destroy hat ein Trojaner gefunden
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (4)
  3. SpyBot - Search & Destroy und Avira AntiVir
    Antiviren-, Firewall- und andere Schutzprogramme - 27.01.2010 (3)
  4. Spybot Search & Destroy Echtzeitschutz?
    Antiviren-, Firewall- und andere Schutzprogramme - 18.10.2009 (5)
  5. Am Ende eines offiziellen Java Updates meldet Spybot Search and Destroy Keylogger?
    Plagegeister aller Art und deren Bekämpfung - 04.08.2009 (0)
  6. Spybot meldet Smitfraud-C. Virtumonde & Virtumonde.generic Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2008 (1)
  7. Spybot Search & Destroy
    Anleitungen, FAQs & Links - 29.10.2008 (2)
  8. Meldung von Spybot - Search & Destroy
    Plagegeister aller Art und deren Bekämpfung - 09.11.2007 (3)
  9. Spybot Search & Destroy + Antivir
    Antiviren-, Firewall- und andere Schutzprogramme - 10.10.2007 (5)
  10. Spybot-Search and Destroy-Fehler
    Antiviren-, Firewall- und andere Schutzprogramme - 27.08.2007 (1)
  11. Logfile von Spybot - Search & Destroy
    Log-Analyse und Auswertung - 17.02.2006 (4)
  12. Spybot - Search & Destroy
    Plagegeister aller Art und deren Bekämpfung - 03.06.2005 (6)
  13. Spybot Search & Destroy 1.4
    Antiviren-, Firewall- und andere Schutzprogramme - 01.06.2005 (5)
  14. Spybot Search & Destroy
    Plagegeister aller Art und deren Bekämpfung - 11.11.2004 (3)
  15. SpyBot Search & Destroy V1.3.1 TX
    Antiviren-, Firewall- und andere Schutzprogramme - 04.11.2004 (14)
  16. SpyBot Search & Destroy V1.3.1 TX II
    Antiviren-, Firewall- und andere Schutzprogramme - 29.10.2004 (2)
  17. Spybot - search and destroy
    Antiviren-, Firewall- und andere Schutzprogramme - 20.08.2004 (5)

Zum Thema Spybot Search & Destroy meldet Virtumonde.dll - Moin, Moin, seit ungefähr 4 - 5 Tagen meldet Spybot Search & Destroy ein Problem: Virtumonde.dll. Die Erläuterung zu dem gemeldeten Problem sieht so aus: (SBI $92386332) Bibliothek C:\WINDOWS\system32\zipfldr.dll. Wenn - Spybot Search & Destroy meldet Virtumonde.dll...
Archiv
Du betrachtest: Spybot Search & Destroy meldet Virtumonde.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.