Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virtumonde.sci nach Formatieren immer noch da

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.04.2010, 19:09   #1
ILM
 
Virtumonde.sci nach Formatieren immer noch da - Standard

Virtumonde.sci nach Formatieren immer noch da



hi,

habe ein problem mit dem trojaner virtumonde.
vor 2 tagen ist mir aufgefallen, dass sich mein browser von alleine schließt und die wlan verbindung von alleine kappt und die win 7 optik verschwindet und es in den grauen wi klassik stil verfällt.

daraufhin hab ich den spybot laufen lassen, der hat dann nur fheler bei der überprüfung - access violation bei vitumonde.dll,.sci und sdn sowie win32.TDSS.gen, WIN32.allaple.ab UND WIN32.Amburadul gebracht und keine spione gefunden. daraufhin hab ich einen reinstall von win 7 gemacht, doch der trojaner war immer noch da. daraufhin hab ih die platte mit dban löschen lassen und win 7 neu installiert. doch die fehler treten immer noch auf, so langsam verzweifel ich echt. kann das ding denn in der hardware stecken? das gibts doch nicht, dass das ding immer noch auf der hdd ist, obwohl ich die mit nem 3-pass modus löschen lassen hab.

ich versuche mal ein hijack log zu posten, da kamen bei erstellen vorhin auch fehler^^

Zitat:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:08:51, on 29.04.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode

Running processes:
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
O4 - HKCU\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 4875 bytes

Alt 29.04.2010, 19:19   #2
raman
 
Virtumonde.sci nach Formatieren immer noch da - Standard

Virtumonde.sci nach Formatieren immer noch da



Welches Programm meldet jetzt noch wo welchen Schaedling. Welches AV Programm setzt du ein.

BTW: Du nutzt ein 64 Bit Betriebssystem, damit kann HijackThis nichts anfangen und die Ergebnisse, die es unter 64 Bit anzeigt sind nutzlos.
__________________

__________________

Alt 29.04.2010, 19:22   #3
ILM
 
Virtumonde.sci nach Formatieren immer noch da - Standard

Virtumonde.sci nach Formatieren immer noch da



nutze antivir
spybot bringt immer noch die access violation fehler. auf unserem laptop zeigt er dieser komischerweise nicht an, also muss doch etwas da sein, oder?
was kann ich denn noch durchlaufen lassen?
__________________

Alt 29.04.2010, 19:37   #4
raman
 
Virtumonde.sci nach Formatieren immer noch da - Standard

Virtumonde.sci nach Formatieren immer noch da



Nicht zwingend. Ich weiss nicht, in wie weit Spybot mit 64 Bit Systemen klar kommt.

Einen Report, oder einen Teilreport von Spybot kannst du nicht posten? Welche Spybotversion setzt du ein?

Mache einmal einen Kontrollscan mit Malwarebytes.
http://www.trojaner-board.de/51187-a...i-malware.html
__________________
MfG Ralf

Alt 29.04.2010, 20:21   #5
ILM
 
Virtumonde.sci nach Formatieren immer noch da - Standard

Virtumonde.sci nach Formatieren immer noch da



einen scan mit Malwarebytes hab ich auch schon gemacht, hat auch nix gefunden, weder im quick noch im full scan.

ich hab die version 1.6.2 von spybot.

auch adaware hat nix dergleichen gefunden.

dennoch ist es doch komisch, dass meine browser (firefox und opera) sich von selbst schließen.


Alt 29.04.2010, 21:33   #6
raman
 
Virtumonde.sci nach Formatieren immer noch da - Standard

Virtumonde.sci nach Formatieren immer noch da



Nutze bitte einmal OTL:
http://www.trojaner-board.de/520941-post4.html
Mache vorher mal ein paar Kontrollscans mit Drweb CureIT und Kaspersky:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Kaspersky 's AVP Tool - Virus Hilfe

Ich gehe davon aus, das du nichts mit Hilfe von Spybot "imunisiert" hast...
__________________
--> Virtumonde.sci nach Formatieren immer noch da

Alt 30.04.2010, 16:15   #7
ILM
 
Virtumonde.sci nach Formatieren immer noch da - Standard

Virtumonde.sci nach Formatieren immer noch da



den test mit Drweb CureIT hab ich gemacht. der schnelltest hat nix gefunden, beim kompletttest kam eine fehlermeldung, dass eine ****.sys datei nicht mehr funktioniert. beim wegklicken der meldung kam ein bluescreen und dort tauchte dann die win32k.sys auf.

ich glaub so langsam, dass ich mir ne neue festplatte holen muss, oder?

hab trotz des abgerochenen tests mal OTL druchlaufen lassen

Zitat:
OTL logfile created on: 30.04.2010 07:35:48 - Run 1
OTL by OldTimer - Version 3.2.3.1 Folder = G:\Downloads
64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 71,00% Memory free
8,00 Gb Paging File | 7,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 48,73 Gb Total Space | 31,49 Gb Free Space | 64,63% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 68,36 Gb Total Space | 68,27 Gb Free Space | 99,87% Space Free | Partition Type: NTFS
Drive G: | 180,90 Gb Total Space | 180,70 Gb Free Space | 99,89% Space Free | Partition Type: NTFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ILM-PC
Current User Name: admin
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Include 64bit Scans
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - G:\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Users\ILM\AppData\Roaming\ICQ\Application\ICQ7.1\ICQ.exe (ICQ, LLC.)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\totalcmd\TOTALCMD.EXE (Ghisler Software GmbH)


========== Modules (SafeList) ==========

MOD - G:\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\Windows\SysWOW64\comdlg32.dll (Microsoft Corporation)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV:64bit: - (WwanSvc) -- C:\Windows\SysNative\wwansvc.dll (Microsoft Corporation)
SRV:64bit: - (WbioSrvc) -- C:\Windows\SysNative\wbiosrvc.dll (Microsoft Corporation)
SRV:64bit: - (Power) -- C:\Windows\SysNative\umpo.dll (Microsoft Corporation)
SRV:64bit: - (Themes) -- C:\Windows\SysNative\themeservice.dll (Microsoft Corporation)
SRV:64bit: - (sppuinotify) -- C:\Windows\SysNative\sppuinotify.dll (Microsoft Corporation)
SRV:64bit: - (SensrSvc) -- C:\Windows\SysNative\sensrsvc.dll (Microsoft Corporation)
SRV:64bit: - (PNRPsvc) -- C:\Windows\SysNative\pnrpsvc.dll (Microsoft Corporation)
SRV:64bit: - (p2pimsvc) -- C:\Windows\SysNative\pnrpsvc.dll (Microsoft Corporation)
SRV:64bit: - (HomeGroupProvider) -- C:\Windows\SysNative\provsvc.dll (Microsoft Corporation)
SRV:64bit: - (RpcEptMapper) -- C:\Windows\SysNative\RpcEpMap.dll (Microsoft Corporation)
SRV:64bit: - (PNRPAutoReg) -- C:\Windows\SysNative\pnrpauto.dll (Microsoft Corporation)
SRV:64bit: - (HomeGroupListener) -- C:\Windows\SysNative\ListSvc.dll (Microsoft Corporation)
SRV:64bit: - (FontCache) -- C:\Windows\SysNative\FntCache.dll (Microsoft Corporation)
SRV:64bit: - (Dhcp) -- C:\Windows\SysNative\dhcpcore.dll (Microsoft Corporation)
SRV:64bit: - (defragsvc) -- C:\Windows\SysNative\defragsvc.dll (Microsoft Corporation)
SRV:64bit: - (bthserv) -- C:\Windows\SysNative\bthserv.dll (Microsoft Corporation)
SRV:64bit: - (BDESVC) -- C:\Windows\SysNative\bdesvc.dll (Microsoft Corporation)
SRV:64bit: - (AxInstSV) -- C:\Windows\SysNative\AxInstSv.dll (Microsoft Corporation)
SRV:64bit: - (AppIDSvc) -- C:\Windows\SysNative\appidsvc.dll (Microsoft Corporation)
SRV:64bit: - (wbengine) -- C:\Windows\SysNative\wbengine.exe (Microsoft Corporation)
SRV:64bit: - (sppsvc) -- C:\Windows\SysNative\sppsvc.exe (Microsoft Corporation)
SRV:64bit: - (Fax) -- C:\Windows\SysNative\FXSSVC.exe (Microsoft Corporation)
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (Lavasoft Ad-Aware Service) -- C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (VSS) -- C:\Windows\Vss [2009.07.14 05:20:14 | 000,000,000 | ---D | M]
SRV - (MSDTC) -- C:\Windows\SysWOW64\Msdtc [2009.07.14 05:20:14 | 000,000,000 | ---D | M]
SRV - (HomeGroupProvider) -- C:\Windows\SysWOW64\provsvc.dll (Microsoft Corporation)
SRV - (Dhcp) -- C:\Windows\SysWOW64\dhcpcore.dll (Microsoft Corporation)
SRV - (vds) -- C:\Windows\SysWOW64\wbem\vds.mof ()
SRV - (clr_optimization_v2.0.50727_64) -- C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe (Microsoft Corporation)


========== Driver Services (SafeList) ==========

DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH)
DRV:64bit: - (Lbd) -- C:\Windows\SysNative\drivers\Lbd.sys (Lavasoft AB)
DRV:64bit: - (77016782) -- C:\Windows\SysNative\drivers\77016782.sys (Kaspersky Lab)
DRV:64bit: - (setup_9.0.0.722_30.04.2010_07-20drv) -- C:\Windows\SysNative\drivers\7701678.sys (Kaspersky Lab)
DRV:64bit: - (77016781) -- C:\Windows\SysNative\drivers\77016781.sys (Kaspersky Lab)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (KSecPkg) -- C:\Windows\SysNative\drivers\ksecpkg.sys (Microsoft Corporation)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (hwpolicy) -- C:\Windows\SysNative\drivers\hwpolicy.sys (Microsoft Corporation)
DRV:64bit: - (FsDepends) -- C:\Windows\SysNative\drivers\fsdepends.sys (Microsoft Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (WIMMount) -- C:\Windows\SysNative\drivers\wimmount.sys (Microsoft Corporation)
DRV:64bit: - (vhdmp) -- C:\Windows\SysNative\drivers\vhdmp.sys (Microsoft Corporation)
DRV:64bit: - (vdrvroot) -- C:\Windows\SysNative\drivers\vdrvroot.sys (Microsoft Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (rdyboost) -- C:\Windows\SysNative\drivers\rdyboost.sys (Microsoft Corporation)
DRV:64bit: - (pcw) -- C:\Windows\SysNative\drivers\pcw.sys (Microsoft Corporation)
DRV:64bit: - (CNG) -- C:\Windows\SysNative\drivers\cng.sys (Microsoft Corporation)
DRV:64bit: - (fvevol) -- C:\Windows\SysNative\drivers\fvevol.sys (Microsoft Corporation)
DRV:64bit: - (rdpbus) -- C:\Windows\SysNative\drivers\rdpbus.sys (Microsoft Corporation)
DRV:64bit: - (RDPREFMP) -- C:\Windows\SysNative\drivers\RDPREFMP.sys (Microsoft Corporation)
DRV:64bit: - (RasAgileVpn) WAN Miniport (IKEv2) -- C:\Windows\SysNative\drivers\agilevpn.sys (Microsoft Corporation)
DRV:64bit: - (WfpLwf) -- C:\Windows\SysNative\drivers\wfplwf.sys (Microsoft Corporation)
DRV:64bit: - (NdisCap) -- C:\Windows\SysNative\drivers\ndiscap.sys (Microsoft Corporation)
DRV:64bit: - (vwififlt) -- C:\Windows\SysNative\drivers\vwififlt.sys (Microsoft Corporation)
DRV:64bit: - (vwifibus) -- C:\Windows\SysNative\drivers\vwifibus.sys (Microsoft Corporation)
DRV:64bit: - (1394ohci) -- C:\Windows\SysNative\drivers\1394ohci.sys (Microsoft Corporation)
DRV:64bit: - (HdAudAddService) -- C:\Windows\SysNative\drivers\HdAudio.sys (Microsoft Corporation)
DRV:64bit: - (UmPass) -- C:\Windows\SysNative\drivers\umpass.sys (Microsoft Corporation)
DRV:64bit: - (mshidkmdf) -- C:\Windows\SysNative\drivers\mshidkmdf.sys (Microsoft Corporation)
DRV:64bit: - (WudfPf) -- C:\Windows\SysNative\drivers\WUDFPf.sys (Microsoft Corporation)
DRV:64bit: - (MTConfig) -- C:\Windows\SysNative\drivers\MTConfig.sys (Microsoft Corporation)
DRV:64bit: - (CompositeBus) -- C:\Windows\SysNative\drivers\CompositeBus.sys (Microsoft Corporation)
DRV:64bit: - (Beep) -- C:\Windows\SysNative\drivers\beep.sys (Microsoft Corporation)
DRV:64bit: - (AppID) -- C:\Windows\SysNative\drivers\appid.sys (Microsoft Corporation)
DRV:64bit: - (scfilter) -- C:\Windows\SysNative\drivers\scfilter.sys (Microsoft Corporation)
DRV:64bit: - (discache) -- C:\Windows\SysNative\drivers\discache.sys (Microsoft Corporation)
DRV:64bit: - (HidBatt) -- C:\Windows\SysNative\drivers\hidbatt.sys (Microsoft Corporation)
DRV:64bit: - (CmBatt) -- C:\Windows\SysNative\drivers\CmBatt.sys (Microsoft Corporation)
DRV:64bit: - (AcpiPmi) -- C:\Windows\SysNative\drivers\acpipmi.sys (Microsoft Corporation)
DRV:64bit: - (AmdPPM) -- C:\Windows\SysNative\drivers\amdppm.sys (Microsoft Corporation)
DRV:64bit: - (RTL8023x64) -- C:\Windows\SysNative\drivers\Rtnic64.sys (Realtek Semiconductor Corporation )
DRV:64bit: - (netr28ux) -- C:\Windows\SysNative\drivers\netr28ux.sys (Ralink Technology Corp.)
DRV:64bit: - (NVENETFD) -- C:\Windows\SysNative\drivers\nvm62x64.sys (NVIDIA Corporation)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV - (RivaTuner64) -- C:\Program Files (x86)\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner64.sys ()
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
DRV - (NetBIOS) -- C:\Windows\SysWOW64\netbios.dll (Microsoft Corporation)
DRV - (mpsdrv) -- C:\Windows\SysWOW64\wbem\mpsdrv.mof ()
DRV - (Tcpip) -- C:\Windows\SysWOW64\wbem\tcpip.mof ()


========== Standard Registry (SafeList) ==========
Zitat:
OTL Extras logfile created on: 30.04.2010 07:35:48 - Run 1
OTL by OldTimer - Version 3.2.3.1 Folder = G:\Downloads
64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 71,00% Memory free
8,00 Gb Paging File | 7,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 48,73 Gb Total Space | 31,49 Gb Free Space | 64,63% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 68,36 Gb Total Space | 68,27 Gb Free Space | 99,87% Space Free | Partition Type: NTFS
Drive G: | 180,90 Gb Total Space | 180,70 Gb Free Space | 99,89% Space Free | Partition Type: NTFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ILM-PC
Current User Name: admin
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Include 64bit Scans
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)

[HKEY_USERS\S-1-5-21-2199504639-2757435605-2489929085-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" File not found
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

========== Authorized Applications List ==========


========== HKEY_LOCAL_MACHINE Uninstall List ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0A35B15C-9CCD-4C0C-BD5B-34ABF8C95813}_is1" = ICQ 7.1 Build #2096 Banner Remover 1.0
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{338F08AB-C262-42C7-B000-34DE1A475273}" = Ad-Aware Email Scanner for Outlook
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{DEA314C4-0929-4250-BC92-98E4C105F28D}" = NVIDIA PhysX
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"Ad-Aware" = Ad-Aware
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4)
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"RivaTuner" = RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition
"Totalcmd" = Total Commander (Remove or Repair)

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-21-2199504639-2757435605-2489929085-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{71BFC818-0CED-42D6-9C87-5142918957EE}" = ICQ7.1

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 29.04.2010 12:10:53 | Computer Name = ILM-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: setup.exe_Firefox, Version: 1.0.0.0,
Zeitstempel: 0x47445bf9 Name des fehlerhaften Moduls: SHELL32.dll, Version: 6.1.7600.16385,
Zeitstempel: 0x4a5bdb01 Ausnahmecode: 0xc0000005 Fehleroffset: 0x0009b4e7 ID des fehlerhaften
Prozesses: 0x878 Startzeit der fehlerhaften Anwendung: 0x01cae7b687d79718 Pfad der
fehlerhaften Anwendung: C:\Users\ILM\AppData\Local\Temp\7zS198E.tmp\setup.exe Pfad
des fehlerhaften Moduls: C:\Windows\syswow64\SHELL32.dll Berichtskennung: c88fc3e8-53a9-11df-9946-0016e683d995

Error - 29.04.2010 13:30:31 | Computer Name = ILM-PC | Source = Lavasoft Ad-Aware Service | ID = 0
Description =

Error - 29.04.2010 13:52:07 | Computer Name = ILM-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files
(x86)\spybot - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei
"c:\program files (x86)\spybot - search & destroy\DelZip179.dll" in Zeile 8. Der
Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.

Error - 29.04.2010 14:23:15 | Computer Name = ILM-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\admin\AppData\Local\Temp\RarSFX0\redist.dll".
Die
abhängige Assemblierung "Microsoft.VC90.MFC,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.4148""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".

[ System Events ]
Error - 29.04.2010 14:33:28 | Computer Name = ILM-PC | Source = DCOM | ID = 10016
Description =

Error - 29.04.2010 14:36:42 | Computer Name = ILM-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "RivaTuner64" wurde aufgrund folgenden Fehlers nicht gestartet:
%%577

Error - 29.04.2010 14:36:43 | Computer Name = ILM-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "RivaTuner64" wurde aufgrund folgenden Fehlers nicht gestartet:
%%577

Error - 29.04.2010 14:36:44 | Computer Name = ILM-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "RivaTuner64" wurde aufgrund folgenden Fehlers nicht gestartet:
%%577

Error - 29.04.2010 14:36:46 | Computer Name = ILM-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "RivaTuner64" wurde aufgrund folgenden Fehlers nicht gestartet:
%%577

Error - 29.04.2010 14:36:49 | Computer Name = ILM-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "RivaTuner64" wurde aufgrund folgenden Fehlers nicht gestartet:
%%577

Error - 29.04.2010 14:36:50 | Computer Name = ILM-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "RivaTuner64" wurde aufgrund folgenden Fehlers nicht gestartet:
%%577

Error - 29.04.2010 14:36:51 | Computer Name = ILM-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "RivaTuner64" wurde aufgrund folgenden Fehlers nicht gestartet:
%%577

Error - 29.04.2010 14:36:53 | Computer Name = ILM-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "RivaTuner64" wurde aufgrund folgenden Fehlers nicht gestartet:
%%577

Error - 29.04.2010 15:03:23 | Computer Name = ILM-PC | Source = Service Control Manager | ID = 7016
Description = Der Dienst "NVIDIA Stereoscopic 3D Driver Service" hat einen ungültigen
aktuellen Status gemeldet: 0


< End of report >

Alt 30.04.2010, 18:40   #8
raman
 
Virtumonde.sci nach Formatieren immer noch da - Standard

Virtumonde.sci nach Formatieren immer noch da



Es kann auch ein Hardwaredefekt (Speicher oder Festplatte) sein, nach Malware sieht es nicht aus...

Du kannst gerne einen Speichertest machen. Entweder mit memtest86+
Memtest86+ 2.10 - Freie Speicherprüfungs-Software - WinFuture.de

und/oder mit dem Windowseigenen Tool:
http://www.trojaner-board.de/78405-w...er-testen.html

Ich gehe nicht davon aus, das der Rechner uebertaktet ist...
__________________
MfG Ralf

Alt 01.05.2010, 18:08   #9
ILM
 
Virtumonde.sci nach Formatieren immer noch da - Standard

Virtumonde.sci nach Formatieren immer noch da



übertaktet hab ich meinen pc nicht.

habe den speichertest von windows durchgeführt, doch da geht der pc einfach aus, mitten im test.

es wurde aber angezeigt dass hardwareprobleme bestehen.

werde jetzt den anderen test nochmal durchlaufen lassen, mal sehen was da raus kommt

€: auch bei dem anderen test schaltet sich der pc einfach aus.

Geändert von ILM (01.05.2010 um 18:31 Uhr)

Alt 02.05.2010, 20:20   #10
raman
 
Virtumonde.sci nach Formatieren immer noch da - Standard

Virtumonde.sci nach Formatieren immer noch da



Dann solltest du ersteinmal das Problem loesen. Schau, ob du "Testhardware" von einem anderen Rechner bekommen kannst, oder gib ihn in entsprechende kompetente HAende
__________________
MfG Ralf

Antwort

Themen zu Virtumonde.sci nach Formatieren immer noch da
access, browser, erstellen, fehler, formatieren, hardware, hijack, hijack log, intranet, langsam, log, löschen, malwarebytes' anti-malware, modus, neu, platte, posten, problem, schließt, spybot, stil, syswow64, trojaner, verbindung, violation, win, wlan, wlan verbindung, überprüfung



Ähnliche Themen: Virtumonde.sci nach Formatieren immer noch da


  1. Immer noch ein Trojaner nach Neuinstalltion?
    Plagegeister aller Art und deren Bekämpfung - 05.08.2015 (12)
  2. Stronghold Antimalware nach Deinstallation immer noch da?
    Plagegeister aller Art und deren Bekämpfung - 11.10.2014 (9)
  3. Windows 7 , PC stürzt immer wieder ab, nach säuberung mit Vipre immer noch viele verdächtig Datein im Autorun
    Log-Analyse und Auswertung - 15.01.2014 (12)
  4. Nach Systemwiederherstellung (Win 7) immer noch Malewarebefall?
    Log-Analyse und Auswertung - 07.03.2012 (5)
  5. Nach Formatierung immer noch Viren
    Log-Analyse und Auswertung - 27.01.2011 (8)
  6. nach formatierung immer noch probleme mit pc
    Plagegeister aller Art und deren Bekämpfung - 25.08.2010 (13)
  7. nach mehrmaligem formatieren virus noch da!!!
    Plagegeister aller Art und deren Bekämpfung - 02.10.2009 (5)
  8. BOO/Sinowal.C nach neuaufsetzten immer noch da
    Log-Analyse und Auswertung - 17.03.2009 (0)
  9. virtumonde.dll entfernt.... pc immer noch am ende
    Log-Analyse und Auswertung - 06.02.2009 (1)
  10. Nach Durchlauf von S&D, immer noch Trojaner am PC
    Mülltonne - 11.11.2008 (0)
  11. Virus nach Formatierung immer noch da
    Log-Analyse und Auswertung - 07.10.2007 (10)
  12. WinAntiVirusPro2006 PopUp & Co - Selbst nach Formatieren noch da?!
    Plagegeister aller Art und deren Bekämpfung - 31.08.2007 (9)
  13. Virus auch nach Formatieren noch auf dem Pc!!
    Plagegeister aller Art und deren Bekämpfung - 21.07.2007 (4)
  14. nach escan immer noch blau
    Log-Analyse und Auswertung - 14.05.2006 (19)
  15. Immer noch Pop-Ups nach Hijack und Norton
    Log-Analyse und Auswertung - 23.03.2006 (8)
  16. Virus nach Formatieren immer wieder da!
    Log-Analyse und Auswertung - 09.11.2005 (3)
  17. !! Hilfe !! nach Backdoor Trojaner und formatieren von c: noch die gleichen Probleme
    Plagegeister aller Art und deren Bekämpfung - 12.02.2005 (1)

Zum Thema Virtumonde.sci nach Formatieren immer noch da - hi, habe ein problem mit dem trojaner virtumonde. vor 2 tagen ist mir aufgefallen, dass sich mein browser von alleine schließt und die wlan verbindung von alleine kappt und die - Virtumonde.sci nach Formatieren immer noch da...
Archiv
Du betrachtest: Virtumonde.sci nach Formatieren immer noch da auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.