|
Virtumonde und andere Trojander lassen sich einfach nicht entfernen Hi, ich hoffe mir kann jemand helfen. Mein Betriebssystem ist Windows XP SP2 und mit Kaspersky hab ich folgende Ergebnisse, nur komischerweise hab ich immer wieder trojaner drauf, daher hab ich mit Spybot alles durchsuchen lassen und da kommt immer wieder bei Neustart der gleiche Virus. Virtumonde.prx und Virtumonde.dll. Sobald ich auch mal wieder Firefox starte, öffnen sich gleich mehrere Fenster mit Werbung. Wenn ich dann wieder Spybot laufen lasse, findet der dann auch den Virus zedo.exe: Hier die Ergebnisliste vom letzten Kaspersky Suchlauf: 01.10.2008 08:30:25 Aufgabe wurde gestartet 01.10.2008 08:30:25 Gefunden: Backdoor.Win32.Delf.mid C:\WINDOWS\system32\ezopcy.dll 01.10.2008 08:30:26 Wird beim Neustart gelöscht: Backdoor.Win32.Delf.mid C:\WINDOWS\system32\ezopcy.dll 01.10.2008 08:30:41 Desinfiziert: Backdoor.Win32.Delf.mid HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 01.10.2008 08:30:45 Desinfiziert: Backdoor.Win32.Delf.mid HKCR\{263e7aa9-9f34-49c8-b912-5ca3882ff388}\InprocServer32 01.10.2008 08:30:45 Gelöscht: Backdoor.Win32.Delf.mid HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{263e7aa9-9f34-49c8-b912-5ca3882ff388} 01.10.2008 08:31:27 Gefunden: Backdoor.Win32.Delf.mid C:\WINDOWS\system32\ezopcy.dll 01.10.2008 08:31:35 Gefunden: Backdoor.Win32.Delf.mid C:\WINDOWS\system32\ezopcy.dll 01.10.2008 08:33:09 Gefunden: Backdoor.Win32.Delf.mid C:\WINDOWS\system32\ezopcy.dll 01.10.2008 08:34:12 Aufgabe wurde abgeschlossen Schnelle Suche: abgeschlossen 25.09.2008 11:42:23 (Ereignis: 26, Objekte: 334374, Zeit: 02:24:58) |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:17:30, on 01.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE C:\Dokumente und Einstellungen\TC\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe C:\Programme\Outlook Express\msimn.exe C:\Dokumente und Einstellungen\TC\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\TC\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Dokumente und Einstellungen\TC\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\TC\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\TC\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\TC\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\TC\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [LMPDPSRV] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" O4 - HKLM\..\Run: [BM251a25c3] Rundll32.exe "C:\WINDOWS\system32\waenjseo.dll",s O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\TC\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {477E2667-7E7A-4737-BFF5-121D68EF7816} (AOL Download Assistent) - http://musikdownloads.aol.de/imcdms-static/code/AOL%20Download%20Assistent.ocx O20 - AppInit_DLLs: ,c:\progra~1\kasper~1\kasper~1\mzvkbd.dll,c:\progra~1\kasper~1\kasper~1\mzvkbd3.dll byljaw.dll O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe -- End of file - 5140 bytes |
Hi, Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\waenjseo.dll
Malwarebytes Antimalware. Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Lass MAM suchen und bereinigen, poste das LOG.... Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board