Trojaner-Board - dvmurl.dll Schädlich?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - dvmurl.dll Schädlich? (https://www.trojaner-board.de/72294-dvmurl-dll-schaedlich.html)

dvmurl.dll Schädlich?

Hallo Leute,

ich habe seit Montag einen neuen PC und hatte heute ein Problem beim booten.
Im POST Screen meines Gigabyte Motherboards ist der PC stehen geblieben, nach einem reset ging es wieder. Ich hab dann vorsichtshalber mal HJT durchlaufen lassen und das kam dabei raus:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:43, on 22.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
C:\WINDOWS\RTHDCPL.EXE
D:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: Google Update Service (gupdate1c9c2cb84cec3e4) (gupdate1c9c2cb84cec3e4) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

--
End of file - 6025 bytes

Die HJT Logfileauswertung hat die dvmurl.dll als schädlich eingestuft, der Rest ist angeblich okay. Kann ich das einfach fixen?
Ehrlich gesagt bin ich ziemlich genervt gerade, nach dem ich Wochen, ach, Monate lang Probleme mit meinem alten Rechner (nicht Virusbedingt) hatte, sammel ich all mein Geld zusammen um mir was neues zu holen und jetzt, wo ich bis auf ein paar Programme (avast, ICQ, SpyBot, Google Earth, Firefox) noch nichts drauf habe, bekomme ich schon wieder Probleme. 8(

System:
Windows XP SP3
Gigabyte GA-G31M-(E)S2L
Intel Core 2 Duo E7400 2,8 Ghz
4 GB DDR2 RAM
HIS ATi 4830 512 MB

Lade mal genau diese dll bei Virustotal.com hoch und poste das Ergebnis hier. Wenn VT sagt, dass diese dll schon analysiert wurde, dann analysierest du diese trotzdem nochmal.

Das kam dabei raus:

Zitat:

Datei dvmurl.dll empfangen 2009.04.22 13:30:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/40 (2.5%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.22 -
AhnLab-V3 5.0.0.2 2009.04.22 -
AntiVir 7.9.0.148 2009.04.22 -
Antiy-AVL 2.0.3.1 2009.04.22 -
Authentium 5.1.2.4 2009.04.22 -
Avast 4.8.1335.0 2009.04.21 -
AVG 8.5.0.287 2009.04.21 -
BitDefender 7.2 2009.04.22 -
CAT-QuickHeal 10.00 2009.04.22 -
ClamAV 0.94.1 2009.04.22 -
Comodo 1124 2009.04.21 -
DrWeb 4.44.0.09170 2009.04.22 -
eSafe 7.0.17.0 2009.04.21 -
eTrust-Vet 31.6.6440 2009.04.20 -
F-Prot 4.4.4.56 2009.04.21 -
F-Secure 8.0.14470.0 2009.04.22 -
Fortinet 3.117.0.0 2009.04.22 -
GData 19 2009.04.22 -
Ikarus T3.1.1.49.0 2009.04.22 -
K7AntiVirus 7.10.710 2009.04.21 -
Kaspersky 7.0.0.125 2009.04.22 -
McAfee 5591 2009.04.21 -
McAfee+Artemis 5591 2009.04.21 -
McAfee-GW-Edition 6.7.6 2009.04.22 -
Microsoft 1.4602 2009.04.22 -
NOD32 4027 2009.04.22 -
Norman 6.00.06 2009.04.22 -
nProtect 2009.1.8.0 2009.04.22 -
Panda 10.0.0.14 2009.04.21 -
PCTools 4.4.2.0 2009.04.21 -
Prevx1 V2 2009.04.22 -
Rising 21.26.23.00 2009.04.22 -
Sophos 4.40.0 2009.04.22 -
Sunbelt 3.2.1858.2 2009.04.21 -
Symantec 1.4.4.12 2009.04.22 -
TheHacker 6.3.4.0.312 2009.04.22 -
TrendMicro 8.700.0.1004 2009.04.22 -
VBA32 3.12.10.2 2009.04.21 suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot 2009.4.22.1704 2009.04.22 -
VirusBuster 4.6.5.0 2009.04.21 -

Mache mal bitte einen Scan mit Malwarebytes und stelle das Ergebnis heir rein.

Zitat:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2024
Windows 5.1.2600 Service Pack 3

22.04.2009 13:54:29
mbam-log-2009-04-22 (13-54-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 108141
Laufzeit: 12 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Langsam hab ich das Gefühl ich hab einen Hardwarefehler.
Als ich eben bei Virus Total die Datei suchen wollte hat der auch schon ewig gebraucht das Fenster zu öffnen.

EDIT: Danke übrigens schon mal für die Tipps!

Führe bitte nochmal einen Superantispyware scan durch.

Zitat:

SUPERAntiSpyware Scan Log
h.....superantispyware.com

Generated 04/22/2009 at 02:31 PM

Application Version : 4.26.1000

Core Rules Database Version : 3857
Trace Rules Database Version: 1809

Scan type : Complete Scan
Total Scan Time : 00:21:38

Memory items scanned : 572
Memory threats detected : 0
Registry items scanned : 4000
Registry threats detected : 0
File items scanned : 44306
File threats detected : 6

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\GTAce\Cookies\gtace@adserver.71i[1].txt
C:\Dokumente und Einstellungen\GTAce\Cookies\gtace@doubleclick[1].txt
C:\Dokumente und Einstellungen\GTAce\Cookies\gtace@adtech[1].txt
C:\Dokumente und Einstellungen\GTAce\Cookies\gtace@atwola[1].txt
C:\Dokumente und Einstellungen\GTAce\Cookies\gtace@atdmt[2].txt
C:\Dokumente und Einstellungen\GTAce\Cookies\gtace@windowsmedia[1].txt

Was soll ich nun machen?

Lade die dll mal bei folgender Seite hoch: Submit your sample

Lasse mal überprüfen bei Verdächtige Datei.

Ergebnis bitte hier rein.

K, soll ich mit dem SUPER erstmal nichts mehr machen?

Wenn die gefundenen Cookies weg sind, dann erstmal nichts mehr, Uploade die dll mal bei Avira und schicke mir das Ergebnis zu.

Zitat:

Vielen Dank für Ihre Submission. Im folgenden sehen Sie den derzeitigen Status der übermittelten Dateien:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25255727 dvmurl.dll 143.09 KB CLEAN

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
dvmurl.dll CLEAN

Die Datei 'dvmurl.dll' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.

Hm, scheint sauber zu sein....

EDIT: Ich habe übrigens keine Websites aufgerufen von denen ich mir einen Virus erklären könnte.
forums.e-mpire.com, gtplanet.net, gtrp.de, icq.com, die Google Earth homepage, deviantArt, MySpace und YouTube dürften doch eigentlich keine Gefahr sein wenn man eine vernünftige Firewall im Router und avast! auf dem PC hat oder?

Dann mach das gleiche nur lade die Datei mal hoch bei "Verdacht auf Fehlalarm". Resultat hier posten.

Gesagt, getan, natürlich gleiches Ergebniss.

Aber langsam denk ich wirklich das dieser Bootfehler heute Mittag was anderes war, genau so wie das zwischenzeitlich echt langsame laden von Windows Fenstern. Ich hatte noch nie einen Core 2 Duo, geschweige denn überhaupt einen PC mit der Leistung, vielleicht ist das ja normal. lol

Kannst du das Aviraergebnis hier mal reinstellen?

War das exakt gleiche wie oben.

Hab jetzt noch mal geguckt über die E-Mails, nun steht auf der Seite:

Zitat:

Betreff Übermittelt am Erledigt am
[#300857] Upload via Webseite - Verdacht auf Fehlalarm 22 Apr 2009 15:44 +0200 in Arbeit...
[#300854] Upload via Webseite 22 Apr 2009 15:33 +0200 in Arbeit...

Ich nehme mal an, das es ein Fehlalarm ist.

Kann da eigentlich jetzt was schief gehen?
Hab jetzt SUPER, avast! und SpyBot am laufen, kommt sich da nichts in die Quere?

NEIN, hör auf bitte, die behindern sich gegenseitig wie ne Bahnschranke ein Autofahrer beim weiterfahren.

Lass das bitte sein.

Deinstalliere Spybot.

Hab ich mir schon gedacht, hab SB deinstalliert.
Mit dem Malwarebytes ist aber egal? Oder hat das auch einen Echtzeitscanner am laufen (in der Taskleiste seh ich nix)?

Malwarebytes kannst du beispielsweise in einer gesunden Kombination mit Avira Antivir Guard benutzen.

Lasse dies mal bei virustotal.com auswerten.

Zitat:

c:\windows\system32\m’|\ü

Was für 'nen Pfad muss ich da angeben? Ich kann da keinen genauen Dateipfad erkennen. :D

/noob

Wir machen es anders.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Bevor ich das angehe mach ich aber erstmal ein Backup...
Es kommt gleich Besuch, deswegen denke ich gehe ich das entweder nachher oder morgen an, bevor durch irgend etwas ein Fehler passiert, danke schon mal für den Tipp, ich meld mich dann wieder hier.

Sorry für Doppelpost.

Also ich habe Combofix noch nicht benutzt, aber ich hab mir den Eintrag von der dll noch einmal angeguckt und da steht "DeviceVM" davor, ich hab das mal gegoogelt und da kam das bei raus: DeviceVM - Wikipedia, the free encyclopedia
Sagt das einem vielleicht etwas?

Mich macht das im Moment echt Irre, 2 Dateien auf dem PC, keine Ahnung was die sind, machen oder wo sie herkommen könnten, aber an diese Combofix Sache trau ich mich nicht ran.

Benutze mal die Boardsuche und suche mal nach Combofix.

Kam noch nicht dazu mit Combofix zu scannen aber eine andere Sache:
Avira hat die dvmurl.dll als "CLEAN" eingestuft, heißt das also ich brauch mir da keine Sorgen machen? Wenn nicht würde ich die nämich bei HJT als neutral markieren, auch wenn ich keine Ahnung hab was die Datei macht, oder nicht.

Wozu brauchst du diese dll? Ist sie unbediengt von Nöten für ein Programm?

Ich weiß es nicht, das ist mein Problem.
Soll ich die Datei einfach mal umbenennen oder in den Papierkorb legen?

Die andere, unbekannte, habe ich übrigens auch nicht über die Windows Dateisuche gefunden (auch nicht in versteckten Ordnern), also k.A. was das ist, nur wie gesagt, mit Combofix hab ich noch nichts gemacht, da ich, bevor ich riskiere das System zu zerhauen, erstmal feststellen möchte was das für ein Bootproblem ist, aber das kann ja nix mit Viren zu tun haben, Windows ist an dem Punkt noch nicht aktiv.

SystemLookup - 0063BF63-BFFF-4B8F-9D26-4267DF7F17DD

Das ist die Datei, diese gehört zu Device VM, hast du mal das programm verwendet in der letzten zeit?

Nicht bewusst (guck mal den Wikipedialink oben, Device VM ist eine Softwareschmiede), aber keine Ahnung ob irgendeine Komponente von mir das nutzt (nagelneuer PC). Denkst du denn ich sollte es als neutral makieren? Weil schädlich scheint die ja nicht zu sein.

Hast du ein Asus Rechner?
Dort werden diese DeviceVMs seit neustem von Linux mit drauf gespielt.

Nein nicht das ich wüsste, ist ein Teil zusammengestellt bei Grey Computer Köln, bei der Garantie usw. steht immer "Turtle", vielleicht hilft das weiter(?). Das Board ist ein Gigabyte (siehe Post #1).