Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virtumonde.DLL endgültig weg nach Combo-Fix?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.09.2009, 18:26   #1
Micha Gundi
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



Hallo liebes Spezialisten-Team,

ich brauche ganz dringend mal Eure Hilfe. Vor rund 2 Wochen hat mein Spybot Search & Destroy mir gesagt, daß ich den Trojaner: Virtumonde.DLL auf dem Rechner hätte. Ich konnte ihn löschen, um ihn sofort beim nächsten Scan wieder zu haben. Danach fing ich an, zu googlen und fand so Einiges zu dem Thema. U.a. auch daß die beste Bekämpfung wäre, wenn man den „Combo Fix“ drüberlaufen läßt. Auch mein PC-Fachmann riet mir dazu. Ich rief aber auch ganz enttäuscht bei Kaspersky an und fragte, wie es sein könnte, daß der Kaspersky Internet Security 2010 den Trojaner nicht erkennen würde. Sie tippten sofort auf einen Fehlalarm von Spybot. Allerdings glaubte ich nicht so ganz daran und ließ den Kaspersky im abgesicherten Modus durchlaufen. Auch hier fand er leider nichts. Der Spybot immer wieder dasselbe.

Mein Betriebssystem ist Windows XP. Ich weiß nicht, was Sie noch alles brauchen. Dann versuchte ich die Infos zu besorgen. Denn, ich muß dazu sagen, daß ich absoluter Laie auf dem Gebiet bin. Mit so einem Trojaner hatte ich es bisher noch nicht zu tun gehabt. Bisher konnte ich die, die gefunden wurden, auch problemlos löschen mit Kaspersky.

Mir blieb also nichts Anderes übrig, als gestern den „Combo-Fix“ durchlaufen zu lassen. Vorher hatte ich natürlich Spybot runtergeschmissen, die Firewall deaktiviert ( war sie aber ) und den Kaspersky 2010 beendet.

Anbei habe ich mal den Logfile angehängt und hoffe, Ihr könnt mir helfen und sagen, ob mein System nun sauber ist oder ob ich noch mehr säubern muß. Ein Neuaufsetzen geht im Moment leider nicht, da ich gerade schon eine dicke Rechnung für den Computer bezahlt habe. Ich hoffe sehr, daß der Combo-Fix seine Dienste geleistet hat.

Schaut Euch bitte mal den Logfile an und editiert bitte gegebenenfalls alles, was ich vergessen habe, zu verschlüsseln. Was ja in dem Wirrwarr durchaus sein kann. Es gibt noch einen Link, den habe ich aber gelassen. Wußte nicht, ob ich ihn verschlüsseln sollte oder nicht.

Schonmal ganz lieben Dank im Voraus für Eure Hilfe.

Michael


ComboFix 09-09-05.03 - *** 06.09.2009 14:19.1.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3071.2626 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-2025429265-436374069-1801674531-1003

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-06 bis 2009-09-06 ))))))))))))))))))))))))))))))
.

2009-08-31 11:57 . 2009-08-31 11:57 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-29 21:21 . 2009-08-29 21:21 -------- d-----w- c:\windows\system32\wbem\Repository

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-06 12:02 . 2008-12-12 13:53 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-09-06 12:02 . 2008-12-12 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-06 11:59 . 2009-08-04 08:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-08-29 16:18 . 2009-08-04 09:42 -------- d-----w- c:\programme\Trillian
2009-08-05 08:59 . 2008-12-03 11:25 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-04 09:03 . 2009-05-24 13:30 128016 ----a-w- c:\windows\system32\drivers\kl1.sys
2009-08-04 08:57 . 2009-08-04 08:57 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat
2009-08-04 08:54 . 2009-08-04 08:54 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-08-04 08:54 . 2009-08-04 08:54 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-08-04 08:53 . 2009-08-04 08:53 -------- d-----w- c:\programme\Kaspersky Lab
2009-08-04 08:23 . 2008-12-06 12:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-07-29 09:35 . 2009-07-29 09:35 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Canneverbe_Limited
2009-07-29 09:35 . 2008-12-06 12:13 29856 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-29 09:35 . 2009-07-29 09:35 -------- d-----w- c:\programme\CDBurnerXP
2009-07-27 13:02 . 2008-12-03 11:25 80290 ----a-w- c:\windows\system32\perfc007.dat
2009-07-27 13:02 . 2008-12-03 11:25 448726 ----a-w- c:\windows\system32\perfh007.dat
2009-07-27 12:50 . 2009-07-27 12:50 -------- d-----w- c:\programme\MSBuild
2009-07-27 12:50 . 2009-07-27 12:50 -------- d-----w- c:\programme\Reference Assemblies
2009-07-17 19:01 . 2008-12-03 11:24 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 19:01 . 2008-12-03 11:24 58880 ----a-w- c:\windows\system32\atl(2)(2).dll
2009-07-15 12:04 . 2009-07-15 12:04 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\TuneUp Software
2009-07-15 12:03 . 2009-07-15 12:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-07-15 12:03 . 2009-07-15 12:03 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-07-15 11:38 . 2008-12-12 13:32 -------- d-----w- c:\programme\Trillian ALT
2009-07-12 10:21 . 2008-12-03 11:25 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2008-12-03 11:25 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-16 14:36 . 2008-12-03 11:25 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2008-12-03 11:24 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2008-12-03 11:25 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2008-12-03 11:24 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2008-12-03 11:35 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2008-12-03 11:25 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-10 06:14 . 2008-12-03 11:25 132096 ----a-w- c:\windows\system32\wkssvc(2)(2).dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="c:\programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avp"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-05-25 303376]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-05-16 16862720]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-17 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Nero BackItUp Scheduler 3"=2 (0x2)
"LightScribeService"=2 (0x2)
"NMIndexingService"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Trillian\\trillian.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15.12.2008 20:41 33808]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16.09.2008 13:03 169312]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.05.2009 17:46 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16.05.2009 20:59 19472]
S4 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [03.12.2008 13:25 77312]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2009-09-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-09-05 c:\windows\Tasks\User_Feed_Synchronization-{011E65EF-EEDD-45A8-9375-D587BC6F8FB6}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://domain.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7khhru3l.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.domain.de/|http://www.domain.de/firefox?client=firefox-a&rls=org.mozilla:defficial
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-09-06 14:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3820)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\rundll32.exe
c:\programme\Canon\IJPLM\ijplmsvc.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\wdfmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-06 14:30 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-06 12:30

Vor Suchlauf: 5 Verzeichnis(se), 144.335.937.536 Bytes frei
Nach Suchlauf: 5 Verzeichnis(se), 144.810.303.488 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

166 --- E O F --- 2009-08-26 22:42

Alt 08.09.2009, 10:18   #2
kira
/// Helfer-Team
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



Hallo und Herzlich Willkommen!

Zitat:
Zitat von Micha Gundi Beitrag anzeigen
Ich rief aber auch ganz enttäuscht bei Kaspersky an und fragte, wie es sein könnte, daß der Kaspersky Internet Security 2010 den Trojaner nicht erkennen würde. Sie tippten sofort auf einen Fehlalarm von Spybot.
Allgemein ist so:
War das jetzt ein Fehlaram oder eine echte Trojanermeldung?:
Weil einige Dateien wurden als Malware eingestuft, bedeutet nicht gleich dass sie wirklich schädlich sind. Umgekehrt weil die Überprüfung einiger Arten schädlicher Dateien negative Ergebnisse gebracht haben, bedeutet nicht, dass sie so harmlos sind, wie (oft) dargestelltwird
Zitat:
Ein Anti-Viren-Programm bzw. Spezial-Tool, kann nur vor jenen Viren schützen bzw. entfernen, die es auch kennt. Leider sehr oft Virenprogrammierer sind schneller auf dem Markt mit ihrem Produkt als Antivirenprogrammierer mit dem Gegenmittel. Es ist daher ganz natürlich, dass vom Zeitpunkt des Auftretens eines neuen Virus eine bestimmte Zeit vergeht, bis der Antivirenhersteller ein Gegenmittel in Form von Virendefinitionsfiles bereithält.
Zitat:
Zitat von Micha Gundi Beitrag anzeigen
Ein Neuaufsetzen geht im Moment leider nicht, da ich gerade schon eine dicke Rechnung für den Computer bezahlt habe.
Was hat das damit zu tun bzw mit Geld? Einfach Windows CD einlegen formatieren + Windows neu zu installieren...

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
gruß
Coverflow
__________________


Alt 08.09.2009, 14:04   #3
Micha Gundi
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



Hallo Coverflow,

erstmal ganz lieben Dank für die nette Begrüßung und daß Du Dich schon so schnell meinem Problem angenommen hast. Die Zusatzinfos werde ich auf jeden Fall schauen, daß ich sie Dir noch besorge. Ich wollte aber gerade das mit den geschützten Dateien machen, da hatte der PC mir eine Warnung gesagt, daß er eventuelll nicht mehr richtig funktionieren würde, wenn man das macht. Soll ich es trotzdem machen?

Ich würde außerdem gerne Combo-Fix wieder runterschmeißen, bevor andere Sachen runtergeladen werden. Wie macht man das? Reicht das dann über Systemsteuerung oder muß da noch mehr gelöscht werden? Oder kann ich ihn noch drauf lassen?

Deine Anweisungen werde ich am WE mal in Ruhe abarbeiten. Dazu brauche ich Zeit und Musse. Jetzt habe ich noch eine kleine Frage am Rande: Ist das normal, daß man als Gast die Beiträge von oben nach unten sieht und als eingeloggter User ist es genau umgekekhrt und das Neueste steht dann oben?

Ganz lieben Dank schonmal!

Michael
__________________

Alt 08.09.2009, 14:56   #4
kira
/// Helfer-Team
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



Zitat:
Zitat von Micha Gundi Beitrag anzeigen
Ich wollte aber gerade das mit den geschützten Dateien machen, da hatte der PC mir eine Warnung gesagt, daß er eventuelll nicht mehr richtig funktionieren würde, wenn man das macht. Soll ich es trotzdem machen?
kannst Du machen, die sind Einstellungen damit wird nix gelöscht oder so. Am Ende wreden wir wieder rückgängig machen
Zitat:
Zitat von Micha Gundi Beitrag anzeigen
Ich würde außerdem gerne Combo-Fix wieder runterschmeißen, bevor andere Sachen runtergeladen werden. Wie macht man das? Reicht das dann über Systemsteuerung oder muß da noch mehr gelöscht werden? Oder kann ich ihn noch drauf lassen?
CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren
Zitat:
Zitat von Micha Gundi Beitrag anzeigen
Ist das normal, daß man als Gast die Beiträge von oben nach unten sieht und als eingeloggter User ist es genau umgekekhrt und das Neueste steht dann oben?
l
ja...

Alt 08.09.2009, 15:27   #5
Micha Gundi
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



Oki, dann werde ich das machen.

Du, ich habe jetzt versucht, den Combofix runterzuschmeißen, allerdings stand dann da: Kein Combofix vorhanden. Wie kann denn das sein? Obwohl ich ihn ja noch auf dem Desktop habe. Ich habe aber diese Quoobox gelöscht und den Papierkorb geleert. Troztdem ist Combofix noch da. Und kann es sein, daß er mir den ganzen Papierkorb beim Reinigungsvorgang gelöscht hat?

edit: AH jetzt hat es gekappt. Der Kaspersky hatte sich wieder gemeldet und dann wollte Combofix erst, daß man wieder alles deaktiviert. Ich hab auf zulassen geklickt und dann hat er es runtergeschmissen. Ok, müßte jetzt erledigt sein. Desktop-Symbol ist auch weg. Aber auf der Festplatte ist noch ein Ordner Combofix. Ist das richtig? Ich denke, er ist runter? Bin da etwas irritiert jetzt.


Geändert von Micha Gundi (08.09.2009 um 16:01 Uhr)

Alt 08.09.2009, 19:34   #6
kira
/// Helfer-Team
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



sollte weg sein...

Alt 08.09.2009, 22:02   #7
Micha Gundi
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



Ja, ich habe den Ordner jetzt manuell noch gelöscht, jetzt ist er endgültig weg. Danke auf jeden Fall. Aber ist jetzt durch die Säuberung von Combo-Fix der Papierkorb komplett geleert worden? Ich habe doch ziemlich gestutzt, als er plötzlich leer war.

Und Deine Anweisungen werde ich am WE in Ruhe abarbeiten.

Im Prinzip hast Du ja recht, daß ein Virus einem Virenprogramm auch bekannt sein muß, ehe es ihn auch erkennen kann. Das ist klar, aber ich habe gesehen, daß dieser Virtumonde schon seit 2008 bekannt ist. Also wenn er Kaspersky DA immer noch nicht bekannt ist, dann weiß ich es auch nicht. Kann ja dann auch nicht so ein gutes Programm sein. Ich verlass mich jetzt daher mal nicht auf die Virenscanner, sondern laß lieber gleich von Euch die Logfiles auswerten. Da ist man dann auf der sicheren Seite.

Alt 08.09.2009, 22:42   #8
ordell1234
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



Welche Datei identifiziert spybot SD denn als "vundo"? -> bitte mit genauer Pfadangabe, Lade die Datei zur Prüfung bei virustotal.com zur Prüfung hoch und poste hier die Ergebnisse des scans.

2 Hinweise:
- Wenn du Kaspersky nutzt, ist Spybot S&D überflüssig. Ich vermute stark einen Fehlalarm. Bevor du Dateien löschst, die als infiziert oder Schädling von deinem Virenprogramm ausgegeben werden, mache eine Gegenprobe bei virustotal.com. Bestätigt sich die Infektion, lösche die Datei dennoch nicht, sondern verschiebe sie in die Quarantäne. Das hilft, einen Überblick über das Schadpotential zu gewinnen.

- combofix ist kein tool, dass man mal eben so auf sein System loslassen sollte. Das Ding geht recht invasiv zur Sache; deshalb wirst du hier auch bei den Anleitungen/faqs nichts dazu finden.

Alt 08.09.2009, 23:20   #9
kira
/// Helfer-Team
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



Zitat:
Zitat von Micha Gundi Beitrag anzeigen
aber ich habe gesehen, daß dieser Virtumonde schon seit 2008 bekannt ist. Also wenn er Kaspersky DA immer noch nicht bekannt ist, dann weiß ich es auch nicht.
ja schon... "Trojan Vundo" ist schon längst bekannt als trojanisches Programm - genau gesagt "Adware", nur halt verwendet mehrere Dateien hintereinander und die Dateinamen ändern sich (Groß/Kleinschr) ständig
was ich gemeint habe, damit Du besser verstehen kannst Beispiel:

- Vundo erzeugt heute: ujmyoo.dll -> gleich aufnahme in der Datenbank -> morgen: geBqOFus.dll<- zwar die Struktur/Merkmale für Vundo typisch, aber die Datei "geBqOFus.dll" noch nicht bekannt. Wenn man Glück hat, der Virenscanner erkennt, wenn nicht dann...Pech gehabt.

Alt 08.09.2009, 23:28   #10
Micha Gundi
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



Erstmal wieder vielen lieben Dank für Eure Antworten. Muß ich mir morgen nochmal in Ruhe zu Gemüte führen. Allerdings kann ich den Spybot 6.1.2. nicht nochmal drüberlaufen lassen, weil ich im Moment ein großes Problem habe: Ich habe ja wegen dem Combofix den Spybot deinstallieren wollen über Systemsteuerung. Allerdings waren da dann wohl noch Reste von übrig. Heute wollte ich ihn wieder draufmachen und bekam folgende Meldung:

Fehler: SDHelper.dll

Die vorhandene Datei ist schreibgeschützt. Klicken Sie auf Wiederholen, Ignorieren oder Abbrechen.

Was soll ich da klicken? Und woran kann das liegen? Daß schon ein Ordner vorhanden ist?

Und wo kann ich denn dann die genaue Pfadangabe sehen? Bisher sah ich da immer nur die Namen der Funde. Aber ohne genauere Angaben.

@Ordell: Es wäre wirklich super, wenn das nur ein Fehlalarm von Spybot wäre. Aber das will ich ja hier lieber mal von Euch abklären lassen.

Alt 09.09.2009, 00:03   #11
ordell1234
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



Die logs von spybot liegen unter
Code:
ATTFilter
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot...\logs
         
Durchforste die logs nach dem Fund poste das Ergebnis.

Die sdhelper.dll liegt im Programmverzeichnis von Spybot SD c:\programme\spybot... versuche mal das Verzeichnis zu löschen. Funktioniert das nicht, führe zunächst die Schritte von Coverflow aus, das Problem beheben wir später.

Alt 10.09.2009, 19:35   #12
Micha Gundi
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



So, Schritte 1 und 2 schonmal ordnungsgemäß ausgeführt. Bitte schaut, ob ich alles Persönliche weg habe und löscht es notfalls. Ich weiß doch absolut nicht, was als persönlich gilt und was nicht. Serien-Nummer und Benutzername sind raus. Aber wenn doch noch eine persönliche Zahl sein sollte, dann bitte löscht sie!

SO, anbei erstmal die Logfiles von filebat:

Code:
ATTFilter
----- Root ----------------------------- 
 Datenträger in Laufwerk C: ist Aquado
 Volumeseriennummer: ***
 Verzeichnis von C:\

09.09.2009  17:52                43 filelist.txt
09.09.2009  17:11     2.145.386.496 pagefile.sys
06.09.2009  14:30            11.057 ComboFix.txt
06.09.2009  14:14               281 boot.ini
15.07.2009  13:39               211 Boot.bak

              14 Datei(en)  2.145.964.764 Bytes
               0 Verzeichnis(se), 146.439.294.976 Bytes frei
 
----- Windows -------------------------- 
 Datenträger in Laufwerk C: ist Aquado
 Volumeseriennummer: ***

 Verzeichnis von C:\WINDOWS

09.09.2009  17:21         1.071.057 WindowsUpdate.log
09.09.2009  17:11                 0 0.log
09.09.2009  17:11             2.048 bootstat.dat
09.09.2009  01:21            32.370 SchedLgU.Txt
06.09.2009  14:28               227 system.ini
06.09.2009  01:37                69 NeroDigital.ini
02.09.2009  23:37               216 wiadebug.log
02.09.2009  13:56                50 wiaservc.log
01.09.2009  17:34           373.430 ntbtlog.txt
29.08.2009  17:01            17.855 spupdsvc.log
29.08.2009  16:50            82.485 iis6.log
29.08.2009  16:50           183.927 comsetup.log
29.08.2009  16:50           109.744 ntdtcsetup.log
29.08.2009  16:50            28.929 ocmsn.log
29.08.2009  16:50           148.212 tsoc.log
29.08.2009  16:50             1.374 imsins.log
29.08.2009  16:50            24.387 KB960859.log
29.08.2009  16:50            22.862 msgsocm.log
29.08.2009  16:50           222.683 ocgen.log
29.08.2009  16:50           518.577 FaxSetup.log
29.08.2009  16:50           778.500 setupapi.log
29.08.2009  16:50             1.374 imsins.BAK
29.08.2009  16:50            24.619 KB971657.log
29.08.2009  16:50            23.718 KB971557.log
29.08.2009  16:50            15.121 KB956744.log
29.08.2009  16:50            14.434 KB973869.log
29.08.2009  16:50            25.199 KB973507.log
29.08.2009  16:50           104.391 updspapi.log
29.08.2009  16:50            13.722 KB973354.log
29.08.2009  16:50            17.615 wmsetup.log
29.08.2009  16:50            12.835 KB973540.log
29.08.2009  16:49            23.586 KB973815.log
29.08.2009  16:32             7.527 KB970653-v3.log
29.07.2009  16:22            13.825 KB972260-IE8.log
27.07.2009  15:01             5.157 KB961118.log
15.07.2009  14:40             6.171 KB973346.log
15.07.2009  14:40            10.858 KB971633.log
15.07.2009  14:39            11.097 KB961371.log
15.07.2009  13:39               477 win.ini
22.06.2009  19:51           176.759 ie8_main.log
22.06.2009  19:50            92.612 KB969897-IE8.log
22.06.2009  19:50            86.050 KB971180-IE8.log
22.06.2009  19:50            85.679 ie8.log
12.06.2009  14:57            22.068 KB961501.log
12.06.2009  14:57            16.882 KB969898.log
12.06.2009  14:56            21.868 KB970238.log
12.06.2009  14:56            96.714 KB969897-IE7.log
12.06.2009  14:56            12.878 KB968537.log
26.05.2009  12:13               113 (null)toolkit.ini
20.05.2009  17:52                 0 Irremote.ini
17.04.2009  02:08            25.037 KB959426.log
17.04.2009  02:08            23.907 KB961373.log
17.04.2009  02:08            99.527 KB963027-IE7.log
17.04.2009  02:07            15.663 KB956572.log
17.04.2009  02:07            14.616 KB952004.log
17.04.2009  02:07            13.089 KB960803.log
17.04.2009  02:07             9.079 KB923561.log

             177 Datei(en)     50.026.803 Bytes
               0 Verzeichnis(se), 146.439.270.400 Bytes frei
 
----- System  --- 
 Datenträger in Laufwerk C: ist Aquado
 Volumeseriennummer: ***

 Verzeichnis von C:\WINDOWS\system

14.04.2008  14:00            70.368 AVICAP.DLL
14.04.2008  14:00           109.504 AVIFILE.DLL
14.04.2008  14:00            33.744 COMMDLG.DLL
14.04.2008  14:00             2.000 KEYBOARD.DRV
14.04.2008  14:00             9.936 LZEXPAND.DLL
14.04.2008  14:00            73.760 MCIAVI.DRV
14.04.2008  14:00            25.296 MCISEQ.DRV
14.04.2008  14:00            28.160 MCIWAVE.DRV
14.04.2008  14:00            69.632 MMSYSTEM.DLL
14.04.2008  14:00             1.152 MMTASK.TSK
14.04.2008  14:00             2.032 MOUSE.DRV
14.04.2008  14:00           127.104 MSVIDEO.DLL
14.04.2008  14:00            82.944 OLECLI.DLL
14.04.2008  14:00            24.064 OLESVR.DLL
14.04.2008  14:00            59.167 setup.inf
14.04.2008  14:00             5.120 SHELL.DLL
14.04.2008  14:00             1.744 SOUND.DRV
14.04.2008  14:00             5.532 stdole.tlb
14.04.2008  14:00             3.360 SYSTEM.DRV
14.04.2008  14:00            19.200 TAPI.DLL
14.04.2008  14:00             4.048 TIMER.DRV
14.04.2008  14:00             9.200 VER.DLL
14.04.2008  14:00             2.176 VGA.DRV
14.04.2008  14:00            13.600 WFWNET.DRV
14.04.2008  14:00           146.944 WINSPOOL.DRV
              25 Datei(en)        929.787 Bytes
               0 Verzeichnis(se), 146.439.274.496 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Datenträger in Laufwerk C: ist Aquado
 Volumeseriennummer: ***

 Verzeichnis von C:\WINDOWS\system32

09.09.2009  17:11           200.712 nvapps.xml
09.09.2009  17:11            12.598 wpa.dbl
31.08.2009  13:57               664 d3d9caps.dat
29.08.2009  16:32           437.918 TZLog.log
05.08.2009  10:59           206.336 mswebdvd.dll
30.07.2009  02:49        24.281.536 MRT.exe
27.07.2009  15:05           155.568 FNTCACHE.DAT
27.07.2009  15:02            67.448 perfc009.dat
27.07.2009  15:02           432.492 perfh009.dat
27.07.2009  15:02           448.726 perfh007.dat
27.07.2009  15:02           997.018 PerfStringBackup.INI
27.07.2009  15:02            80.290 perfc007.dat
19.07.2009  18:41        11.067.392 ieframe.dll
19.07.2009  15:11         5.937.152 mshtml.dll
17.07.2009  21:01            58.880 atl.dll
17.07.2009  21:01            58.880 atl(2)(2).dll
14.07.2009  13:03            46.080 tzchange.exe
12.07.2009  12:21           233.472 wmpdxm.dll
12.07.2009  12:21         4.874.240 wmp.dll
03.07.2009  18:55           206.848 occache.dll
03.07.2009  18:55           915.456 wininet.dll
03.07.2009  18:55         1.208.832 urlmon.dll
03.07.2009  18:55           594.432 msfeeds.dll
03.07.2009  18:55            55.296 msfeedsbs.dll
03.07.2009  18:55            25.600 jsproxy.dll
03.07.2009  18:55         1.469.440 inetcpl.cpl
03.07.2009  18:55         1.985.536 iertutil.dll
03.07.2009  18:55           184.320 iepeers.dll
03.07.2009  18:55           386.048 iedkcs32.dll
03.07.2009  13:01           173.056 ie4uinit.exe
29.06.2009  10:40            57.667 ieuinit.inf
16.06.2009  16:36           119.808 t2embed.dll
16.06.2009  16:36            81.920 fontsub.dll
15.06.2009  12:43            78.848 telnet.exe
10.06.2009  16:13            85.504 avifil32.dll
10.06.2009  09:19         2.066.432 mstscax.dll
10.06.2009  08:14           132.096 wkssvc.dll
10.06.2009  08:14           132.096 wkssvc(2)(2).dll
03.06.2009  21:09         1.296.896 quartz.dll
25.05.2009  05:21           219.664 klogon.dll
23.05.2009  01:40               297 MsiExec.exe.log
07.05.2009  17:32           348.160 localspl.dll
29.04.2009  06:41           133.120 extmgr.dll
19.04.2009  21:46         1.847.296 win32k.sys
15.04.2009  16:51           585.216 rpcrt4.dll

            2035 Datei(en)    490.130.951 Bytes
               0 Verzeichnis(se), 146.439.090.176 Bytes frei
 
----- Prefetch ------------------------- 
 Datenträger in Laufwerk C: ist Aquado
 Volumeseriennummer: ***

 Verzeichnis von C:\WINDOWS\Prefetch

09.09.2009  17:52            12.036 FIND.EXE-0EC32F1E.pf
09.09.2009  17:52            14.122 CMD.EXE-087B4001.pf
09.09.2009  17:51            16.810 VERCLSID.EXE-3667BD89.pf
09.09.2009  17:36            45.726 KLWTBLFS.EXE-1589DB5D.pf
09.09.2009  17:35            77.590 FIREFOX.EXE-1D57670A.pf
09.09.2009  17:33           100.340 WINWORD.EXE-0B995611.pf
09.09.2009  17:28            40.574 IMAPI.EXE-0BF740A4.pf
09.09.2009  17:28            14.818 RUNDLL32.EXE-451FC2C0.pf
09.09.2009  17:27            46.366 AVP.EXE-1306C698.pf
09.09.2009  17:14            94.646 IEXPLORE.EXE-2CA9778D.pf
09.09.2009  17:13            94.496 RUNDLL32.EXE-13404D23.pf
09.09.2009  17:12            57.034 WMIPRVSE.EXE-28F301A9.pf
09.09.2009  17:12            21.712 WUAUCLT.EXE-399A8E72.pf
09.09.2009  17:12            15.752 SVCHOST.EXE-3530F672.pf
09.09.2009  17:12            17.766 TASKMGR.EXE-20256C55.pf
09.09.2009  17:12            36.184 ALG.EXE-0F138680.pf
09.09.2009  17:12            11.570 WSCNTFY.EXE-1B24F5EB.pf
09.09.2009  17:12            25.026 RUNDLL32.EXE-35A483DA.pf
09.09.2009  01:00            92.684 MSFEEDSSYNC.EXE-25E13438.pf
09.09.2009  00:13            18.094 NOTEPAD.EXE-336351A9.pf
08.09.2009  23:40           123.216 HELPSVC.EXE-2878DDA2.pf
08.09.2009  23:23            34.030 DFRGNTFS.EXE-269967DF.pf
08.09.2009  23:23            16.922 DEFRAG.EXE-273F131E.pf
08.09.2009  23:20           436.944 Layout.ini
08.09.2009  20:55           119.116 OPERA.EXE-24550E7A.pf
08.09.2009  20:11            21.394 RUNDLL32.EXE-327ED30F.pf
08.09.2009  16:43            12.400 SPYBOTSD162.TMP-036FD7F0.pf
08.09.2009  16:43            14.238 SPYBOTSD162.EXE-0B5474DD.pf
08.09.2009  16:42            62.588 EXPLORER.EXE-082F38A9.pf
08.09.2009  16:32            13.622 NIRCMD.EXE-2C39EF53.pf
08.09.2009  16:32            29.972 CSCRIPT.EXE-1C26180C.pf
08.09.2009  16:32            12.960 CF29708.EXE-0C7889CF.pf
08.09.2009  16:32            11.610 NIRCMDB.EXE-137B12EA.pf
08.09.2009  16:32            15.486 REGEDIT.EXE-1B606482.pf
08.09.2009  16:32             9.382 SWXCACLS.CFXXE-0F8095D7.pf
08.09.2009  16:32             9.004 SWREG.CFXXE-17391962.pf
08.09.2009  16:32            10.102 PEV.CFXXE-02C8A4D3.pf
08.09.2009  16:32             5.542 ATTRIB.CFXXE-0D17129C.pf
08.09.2009  16:32            11.346 ATTRIB.EXE-39EAFB02.pf
08.09.2009  16:32            51.232 SED.CFXXE-3B4964C3.pf
08.09.2009  16:32             7.624 SWREG.EXE-3560BE42.pf
08.09.2009  16:32             9.494 NIRCMDC.CFXXE-101D6E86.pf
08.09.2009  16:32            22.818 PV.CFXXE-232B0D6C.pf
08.09.2009  16:32             6.550 CHCP.COM-18156052.pf
08.09.2009  16:32             5.368 GREP.CFXXE-350016A4.pf
08.09.2009  16:32            18.624 NIRCMD.CFXXE-05436116.pf
08.09.2009  16:32             6.430 ATTRIB.CFXXE-18D70E5B.pf
08.09.2009  16:32            18.890 PV.CFXXE-38A0900B.pf
08.09.2009  16:32            20.042 CMD.EXECF-27E83661.pf
08.09.2009  16:31            11.654 NIRCMD.CFXXE-351E2F5E.pf
08.09.2009  16:31            45.862 PEV.CFXXE-3B65BD28.pf
08.09.2009  16:31             4.450 SED.CFXXE-384BB311.pf
08.09.2009  16:31             9.308 PEV.EXE-2937A365.pf
08.09.2009  16:31             4.312 GREP.CFXXE-005CE245.pf
08.09.2009  16:31            67.742 COMBOFIX.EXE-3B79AA28.pf
08.09.2009  16:31             5.068 GSAR.CFXXE-064C1B3A.pf
08.09.2009  16:31            11.258 SWREG.EXE-0937BD77.pf
08.09.2009  16:31             9.252 SWXCACLS.CFXXE-1ECB3953.pf
08.09.2009  16:31            18.472 RUNDLL32.EXE-1EE676D0.pf
08.09.2009  16:31            20.336 RUNONCE.EXE-2803F297.pf
08.09.2009  16:31            13.712 GRPCONV.EXE-111CD845.pf
08.09.2009  16:31            19.262 N.PIF-1B75D06C.pf
08.09.2009  16:31             8.782 HIDEC.EXE-3B166DB3.pf
08.09.2009  16:31            10.034 IEXPLORE.EXE-12915967.pf
08.09.2009  16:31            47.472 RUNDLL32.EXE-398386F9.pf
08.09.2009  14:16            14.082 REGSVR32.EXE-25EEFE2F.pf
06.09.2009  14:31            14.196 CTFMON.EXE-0E17969B.pf
06.09.2009  14:30             4.344 HANDLE.CFXXE-3A21626E.pf
06.09.2009  14:30             4.922 MTEE.CFXXE-32C26232.pf
06.09.2009  14:30            10.310 CATCHME.CFXXE-23E5EDF4.pf
06.09.2009  14:30            23.082 IPCONFIG.EXE-2395F30B.pf
06.09.2009  14:30           133.462 DUMPHIVE.CFXXE-1A17CAC9.pf
06.09.2009  14:30            53.292 ERUNT.CFXXE-34DA43A5.pf
06.09.2009  14:30            10.962 SORT.EXE-194AE83C.pf
06.09.2009  14:30            12.016 FINDSTR.EXE-0CA6274B.pf
06.09.2009  14:30             3.862 GSAR.CFXXE-00AB7A6E.pf
06.09.2009  14:30             5.758 HIDEC.EXE-3818BC01.pf
06.09.2009  14:30             7.750 SWSC.CFXXE-2693FE93.pf
06.09.2009  14:30            28.266 CF8536.EXE-030C82A3.pf
06.09.2009  14:30            11.250 REGT.CFXXE-2A974419.pf
06.09.2009  14:30             9.884 FINDSTR.CFXXE-2395B528.pf
06.09.2009  14:29            16.412 CATCHME.TMP-265A4B2E.pf
06.09.2009  14:28            23.714 PEV.EXE-0806C34B.pf
06.09.2009  14:28            17.122 RUNDLL32.EXE-23EFE92C.pf
06.09.2009  14:08             9.738 GREP.EXE-3309531C.pf
06.09.2009  14:08             3.838 SED.EXE-0F4B402F.pf
06.09.2009  14:08             7.932 COMBOFIX-DOWNLOAD.CFXXE-31D203D3.pf
06.09.2009  14:08            14.106 PING.EXE-31216D26.pf
06.09.2009  14:07            11.126 NIRCMDC.CFXXE-1A395113.pf
06.09.2009  14:05            13.642 CF6382.EXE-1D291980.pf
06.09.2009  14:05             8.668 NIRCMDB.EXE-143CC1C1.pf
06.09.2009  14:02            14.874 _IU14D2N.TMP-223B9748.pf
06.09.2009  14:02            17.668 UNINS000.EXE-322F758F.pf
06.09.2009  14:01            68.882 RSTRUI.EXE-03C49A96.pf
06.09.2009  14:00            35.110 HELPHOST.EXE-247D2792.pf
06.09.2009  14:00            79.384 HELPCTR.EXE-3862B6F5.pf
06.09.2009  01:37            99.366 VLC.EXE-29851A71.pf
06.09.2009  01:37            23.476 NMIndexStoreSvr.exe-249DD3AC.pf
06.09.2009  01:36            67.726 SHOWTIME.EXE-0883D9EC.pf
05.09.2009  23:41            61.464 SOFTWAREUPDATE.EXE-1E90DF1F.pf
05.09.2009  23:41            18.788 DLLHOST.EXE-205D880D.pf
05.09.2009  11:12            69.864 CDBXPP.EXE-2D1BFE11.pf
04.09.2009  17:23            29.238 LOGONUI.EXE-0AF22957.pf
02.09.2009  15:35           106.302 DWWIN.EXE-30875ADC.pf
02.09.2009  15:34            59.724 DUMPREP.EXE-1B46F901.pf
02.09.2009  15:00           150.292 RUNDLL32.EXE-36A55E35.pf
02.09.2009  15:00            19.672 CNMSE92.EXE-287D3D8B.pf
02.09.2009  14:01           100.312 PHOTOSNAPVIEWER.EXE-1DC32D57.pf
02.09.2009  13:56            21.998 MSPAINT.EXE-11CBB631.pf
30.08.2009  19:34            55.286 RUNDLL32.EXE-44CFE6D3.pf
30.08.2009  19:32            84.790 7ZFM.EXE-24800234.pf
29.08.2009  23:25            12.266 QTTASK.EXE-2D7EEF34.pf
29.08.2009  18:18            83.450 TRILLIAN.EXE-302642F0.pf
29.08.2009  16:39            79.750 SPYBOTSD.EXE-1D495A65.pf
29.08.2009  13:59            81.756 PHOTOSHOPELEMENTSEDITOR.EXE-0386F4A3.pf
25.08.2009  14:30            71.842 ACRORD32.EXE-153330F0.pf
04.08.2009  10:19            67.098 AVP.EXE-05FE030A.pf

             118 Datei(en)      4.776.756 Bytes
               0 Verzeichnis(se), 146.439.168.000 Bytes frei
 
----- Tasks ---------------------------- 
 Datenträger in Laufwerk C: ist Aquado
 Volumeseriennummer: ***

 Verzeichnis von C:\WINDOWS\tasks

09.09.2009  17:11                 6 SA.DAT
09.09.2009  01:00               416 User_Feed_Synchronization-{011E65EF-EEDD-45A8-9375-D587BC6F8FB6}.job
05.09.2009  23:41               276 AppleSoftwareUpdate.job

               4 Datei(en)            763 Bytes
               0 Verzeichnis(se), 146.439.163.904 Bytes frei
 
----- Windows/Temp ----------------------- 
 Datenträger in Laufwerk C: ist Aquado
 Volumeseriennummer: ***

 Verzeichnis von C:\WINDOWS\Temp

09.09.2009  17:50            32.768 cchAB.tmp
09.09.2009  17:50            32.768 cchAA.tmp
               2 Datei(en)         65.536 Bytes
               0 Verzeichnis(se), 146.439.163.904 Bytes frei
 
----- Temp ----------------------------- 
 Datenträger in Laufwerk C: ist Aquado
 Volumeseriennummer: ***

 Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

07.09.2009  18:10            22.263 Turkish.bin
07.09.2009  18:10            19.564 Hebrew.bin
07.09.2009  18:10            21.975 Norwegian.bin
07.09.2009  18:10            22.868 Finnish.bin
07.09.2009  18:10            26.094 Hungarian.bin
07.09.2009  18:10            25.082 Portuguese(Brazil).bin
07.09.2009  18:10            24.321 Czech.bin
07.09.2009  18:10            24.232 Polish.bin
07.09.2009  18:10            25.093 Greek.bin
07.09.2009  18:10            20.991 Arabic.bin
07.09.2009  18:10            21.987 Thai.bin
07.09.2009  18:10            21.944 English.bin
07.09.2009  18:10            16.420 SimChin.bin
07.09.2009  18:10            26.271 Portuguese.bin
07.09.2009  18:10            27.764 Spanish.bin
07.09.2009  18:10            26.136 Russian.bin
07.09.2009  18:10            24.093 SWEDISH.bin
07.09.2009  18:10            27.421 Italian.bin
07.09.2009  18:10            27.246 French.bin
07.09.2009  18:10            25.764 German.bin
07.09.2009  18:10            16.962 TradChin.bin
07.09.2009  18:10            22.794 Danish.bin
07.09.2009  18:10            25.758 Dutch.bin
07.09.2009  18:10            24.340 Japanese.bin
07.09.2009  18:10            20.145 Korean.bin
              25 Datei(en)        587.528 Bytes
               0 Verzeichnis(se), 146.439.163.904 Bytes frei
         

Alt 10.09.2009, 19:44   #13
kira
/// Helfer-Team
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



noch bitte Punkt 3.:-> http://www.trojaner-board.de/77214-virtumonde-dll-endgueltig-weg-nach-combo-fix-2.html#post463799

Alt 10.09.2009, 19:48   #14
Micha Gundi
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



Ja mach ich auf jeden Fall noch. Sag mal, muß ich dazu die Virenscanner auch ausmachen vorher? Also bevor ich den CCleaner starte?

Alt 10.09.2009, 19:59   #15
kira
/// Helfer-Team
 
Virtumonde.DLL endgültig weg nach Combo-Fix? - Standard

Virtumonde.DLL endgültig weg nach Combo-Fix?



nein..wenn das nötig wird, werd ich dich darauf extra hinweisen

Antwort

Themen zu Virtumonde.DLL endgültig weg nach Combo-Fix?
abgesicherten modus, adobe, avp, avp.exe, c.exe, c:\windows\system32\rundll32.exe, components, computer, desktop, dringend, einstellungen, fehlalarm, firefox, firewall, firewall deaktiviert, google, gservice, home, immer wieder, internet, internet security, internet security 2010, kaspersky, laufende prozesse, logfile, löschen, malware, mozilla, nicht erkennen, opera, photoshop, programme, rthdcpl.exe, rundll, scan, security, suchlauf, trojaner, virtumonde.dll, windows, windows recovery, windows xp.



Ähnliche Themen: Virtumonde.DLL endgültig weg nach Combo-Fix?


  1. Firefox mit Dynamo Combo Ads und IE mit vi-view befallen
    Plagegeister aller Art und deren Bekämpfung - 17.01.2015 (3)
  2. Virtumonde nach Neuinstallation des Systems
    Plagegeister aller Art und deren Bekämpfung - 17.01.2012 (5)
  3. Gomeo Umleitung/Inet langsam bis garnicht möglich - Combo Fix anwenden ?
    Plagegeister aller Art und deren Bekämpfung - 15.07.2011 (1)
  4. Überprüfung nach Combo Fix Suchlauf
    Log-Analyse und Auswertung - 23.05.2011 (5)
  5. Auswertung Combo-Fix Log-Datei
    Log-Analyse und Auswertung - 23.03.2011 (30)
  6. Security Tool eingenistet - Auswertung Combo-Fix Log-Datei
    Log-Analyse und Auswertung - 06.10.2010 (2)
  7. Virtumonde.sci nach Formatieren immer noch da
    Plagegeister aller Art und deren Bekämpfung - 02.05.2010 (9)
  8. Treiber für slimtype COMBO SOSC-2483 K
    Alles rund um Windows - 20.11.2009 (3)
  9. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  10. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  11. Spybot meldet Smitfraud-C. Virtumonde & Virtumonde.generic Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2008 (1)
  12. nicht mal HiJack, oder Combo lassen sich starten
    Mülltonne - 22.11.2008 (0)
  13. ecan auswertung: combo & parentis
    Plagegeister aller Art und deren Bekämpfung - 13.08.2008 (6)
  14. Combo Spywarefund aber dennoch ratlos nach SUFU
    Log-Analyse und Auswertung - 23.05.2008 (8)
  15. Combo Fix runtergeladen und 3 Viren erhalten?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2008 (2)
  16. Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde)
    Alles rund um Windows - 12.12.2007 (25)
  17. Bitte mal nach schauen Virtumonde -.-
    Mülltonne - 28.05.2007 (0)

Zum Thema Virtumonde.DLL endgültig weg nach Combo-Fix? - Hallo liebes Spezialisten-Team, ich brauche ganz dringend mal Eure Hilfe. Vor rund 2 Wochen hat mein Spybot Search & Destroy mir gesagt, daß ich den Trojaner: Virtumonde.DLL auf dem Rechner - Virtumonde.DLL endgültig weg nach Combo-Fix?...
Archiv
Du betrachtest: Virtumonde.DLL endgültig weg nach Combo-Fix? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.