Virtumonde.DLL endgültig weg nach Combo-Fix?

Micha Gundi · 07.09.2009, 18:26

Hallo liebes Spezialisten-Team,

ich brauche ganz dringend mal Eure Hilfe. Vor rund 2 Wochen hat mein Spybot Search & Destroy mir gesagt, daß ich den Trojaner: Virtumonde.DLL auf dem Rechner hätte. Ich konnte ihn löschen, um ihn sofort beim nächsten Scan wieder zu haben. Danach fing ich an, zu googlen und fand so Einiges zu dem Thema. U.a. auch daß die beste Bekämpfung wäre, wenn man den „Combo Fix“ drüberlaufen läßt. Auch mein PC-Fachmann riet mir dazu. Ich rief aber auch ganz enttäuscht bei Kaspersky an und fragte, wie es sein könnte, daß der Kaspersky Internet Security 2010 den Trojaner nicht erkennen würde. Sie tippten sofort auf einen Fehlalarm von Spybot. Allerdings glaubte ich nicht so ganz daran und ließ den Kaspersky im abgesicherten Modus durchlaufen. Auch hier fand er leider nichts. Der Spybot immer wieder dasselbe.

Mein Betriebssystem ist Windows XP. Ich weiß nicht, was Sie noch alles brauchen. Dann versuchte ich die Infos zu besorgen. Denn, ich muß dazu sagen, daß ich absoluter Laie auf dem Gebiet bin. Mit so einem Trojaner hatte ich es bisher noch nicht zu tun gehabt. Bisher konnte ich die, die gefunden wurden, auch problemlos löschen mit Kaspersky.

Mir blieb also nichts Anderes übrig, als gestern den „Combo-Fix“ durchlaufen zu lassen. Vorher hatte ich natürlich Spybot runtergeschmissen, die Firewall deaktiviert ( war sie aber ) und den Kaspersky 2010 beendet.

Anbei habe ich mal den Logfile angehängt und hoffe, Ihr könnt mir helfen und sagen, ob mein System nun sauber ist oder ob ich noch mehr säubern muß. Ein Neuaufsetzen geht im Moment leider nicht, da ich gerade schon eine dicke Rechnung für den Computer bezahlt habe. Ich hoffe sehr, daß der Combo-Fix seine Dienste geleistet hat.

Schaut Euch bitte mal den Logfile an und editiert bitte gegebenenfalls alles, was ich vergessen habe, zu verschlüsseln. Was ja in dem Wirrwarr durchaus sein kann. Es gibt noch einen Link, den habe ich aber gelassen. Wußte nicht, ob ich ihn verschlüsseln sollte oder nicht.

Schonmal ganz lieben Dank im Voraus für Eure Hilfe.

Michael

ComboFix 09-09-05.03 - *** 06.09.2009 14:19.1.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3071.2626 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-2025429265-436374069-1801674531-1003

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-06 bis 2009-09-06 ))))))))))))))))))))))))))))))
.

2009-08-31 11:57 . 2009-08-31 11:57 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-29 21:21 . 2009-08-29 21:21 -------- d-----w- c:\windows\system32\wbem\Repository

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-06 12:02 . 2008-12-12 13:53 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-09-06 12:02 . 2008-12-12 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-06 11:59 . 2009-08-04 08:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-08-29 16:18 . 2009-08-04 09:42 -------- d-----w- c:\programme\Trillian
2009-08-05 08:59 . 2008-12-03 11:25 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-04 09:03 . 2009-05-24 13:30 128016 ----a-w- c:\windows\system32\drivers\kl1.sys
2009-08-04 08:57 . 2009-08-04 08:57 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat
2009-08-04 08:54 . 2009-08-04 08:54 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-08-04 08:54 . 2009-08-04 08:54 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-08-04 08:53 . 2009-08-04 08:53 -------- d-----w- c:\programme\Kaspersky Lab
2009-08-04 08:23 . 2008-12-06 12:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-07-29 09:35 . 2009-07-29 09:35 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Canneverbe_Limited
2009-07-29 09:35 . 2008-12-06 12:13 29856 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-29 09:35 . 2009-07-29 09:35 -------- d-----w- c:\programme\CDBurnerXP
2009-07-27 13:02 . 2008-12-03 11:25 80290 ----a-w- c:\windows\system32\perfc007.dat
2009-07-27 13:02 . 2008-12-03 11:25 448726 ----a-w- c:\windows\system32\perfh007.dat
2009-07-27 12:50 . 2009-07-27 12:50 -------- d-----w- c:\programme\MSBuild
2009-07-27 12:50 . 2009-07-27 12:50 -------- d-----w- c:\programme\Reference Assemblies
2009-07-17 19:01 . 2008-12-03 11:24 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 19:01 . 2008-12-03 11:24 58880 ----a-w- c:\windows\system32\atl(2)(2).dll
2009-07-15 12:04 . 2009-07-15 12:04 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\TuneUp Software
2009-07-15 12:03 . 2009-07-15 12:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-07-15 12:03 . 2009-07-15 12:03 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-07-15 11:38 . 2008-12-12 13:32 -------- d-----w- c:\programme\Trillian ALT
2009-07-12 10:21 . 2008-12-03 11:25 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2008-12-03 11:25 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-16 14:36 . 2008-12-03 11:25 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2008-12-03 11:24 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2008-12-03 11:25 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2008-12-03 11:24 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2008-12-03 11:35 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2008-12-03 11:25 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-10 06:14 . 2008-12-03 11:25 132096 ----a-w- c:\windows\system32\wkssvc(2)(2).dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="c:\programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avp"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-05-25 303376]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-05-16 16862720]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-17 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Nero BackItUp Scheduler 3"=2 (0x2)
"LightScribeService"=2 (0x2)
"NMIndexingService"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Trillian\\trillian.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15.12.2008 20:41 33808]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16.09.2008 13:03 169312]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.05.2009 17:46 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16.05.2009 20:59 19472]
S4 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [03.12.2008 13:25 77312]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2009-09-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-09-05 c:\windows\Tasks\User_Feed_Synchronization-{011E65EF-EEDD-45A8-9375-D587BC6F8FB6}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://domain.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7khhru3l.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.domain.de/|http://www.domain.de/firefox?client=firefox-a&rls=org.mozilla:de

fficial
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-09-06 14:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3820)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\rundll32.exe
c:\programme\Canon\IJPLM\ijplmsvc.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\wdfmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-06 14:30 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-06 12:30

Vor Suchlauf: 5 Verzeichnis(se), 144.335.937.536 Bytes frei
Nach Suchlauf: 5 Verzeichnis(se), 144.810.303.488 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

166 --- E O F --- 2009-08-26 22:42

Virtumonde.DLL endgültig weg nach Combo-Fix?

Plagegeister aller Art und deren Bekämpfung: Virtumonde.DLL endgültig weg nach Combo-Fix?

Virtumonde.DLL endgültig weg nach Combo-Fix?

Ähnliche Themen: Virtumonde.DLL endgültig weg nach Combo-Fix?