Trojaner-Board - Trojaner Virtumonde

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner Virtumonde (https://www.trojaner-board.de/67481-trojaner-virtumonde.html)

Trojaner Virtumonde

Hallo ihr fleißigen Helfer. Mein Problem heißt Vitumonde und zwar er öffnet einfach Fenster in denen steht das ich einen Virus habe und bei Schließung des Fensters öffnet sich ein neues Fenster das angeblich meine Festplatte gescannt wird und unzälige Viren gefunden wurden.
Und jedes mal wenn ich versuche Windows zu updaten schaltet er die automatischen Updates aus und selbst wenn ich mit der Windows-Seite klappt es nicht da er mich nicht auf die Seite läßt

Ich hab echt sämtliche Programme probiert, um Virtumonde, was auf Gott weiss was für einen Weg auf meinen PC gekommen ist zu entfernen. Jedes Mal wenn ich Virtumonde mit S&D und Spyware, etc. gelöscht habe, kommt es nach einem Neustart wieder.

Ich komme einfach keinen noch so kleinen Schritt weiter. Es wäre Klasse, wenn mir jemand helfen könnte. Herzlichen Dank im voraus!
Hier ist das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:30:14, on 29.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\WINDOWS\System32\drivers\PhiBtn.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\Programme\McAfee\MBK\MBackMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\Programme\McAfee\VirusScan\McShield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
D:\World of Warcraft\Wow.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: (no name) - {1128ac57-1b58-42c7-9618-8736ff680759} - C:\WINDOWS\system32\soletemo.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [PhiBtn] %SystemRoot%\System32\drivers\PhiBtn.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MBkLogOnHook] C:\Programme\McAfee\MBK\LogOnHook.exe
O4 - HKLM\..\Run: [jedatiheti] Rundll32.exe "C:\WINDOWS\system32\joyazawe.dll",s
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [CPMfb76a637] Rundll32.exe "c:\windows\system32\zufeyibi.dll",a
O4 - HKCU\..\Run: [Sixth Idol] C:\DOKUME~1\Brigitte\ANWEND~1\OPTION~1\Stop Aim.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [jedatiheti] Rundll32.exe "C:\WINDOWS\system32\joyazawe.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\joyazawe.dll C:\WINDOWS\system32\zomibole.dll c:\windows\system32\zufeyibi.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\zufeyibi.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\zufeyibi.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan\McShield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 13699 bytes

Bitte heflt mir bin schon echt am verzeifeln vorallem weil ich mir den Pc mit meinen Eltern teile!:daumenhoc

Hallo Darksool und :hallo:

Alle Punkte nach der Reihe ausführen:

1.) Wie viele Antivirus/Antispyware Programme willst du eigentlich installieren??
Bitte nur EIN Antivirus und EIN Antispyware Programm, den Rest deinstallieren:

Zitat:

eTrust Antivirus (Antivirus -> deinstallieren)
Ad-Aware (Antispyware -> lassen)
McAfee (Security Suite -> lassen)
Spybot-S&D (Antivirus/Antispyware -> deinstallieren)
Spyware Doctor (Antispyware -> deinstallieren)

2.) Folgende Datei bitte mit NoLop löschen:

Zitat:

C:\DOKUME~1\Brigitte\ANWEND~1\OPTION~1\Stop Aim.exe

3.) Bitte folgende Einträge mit HijackThis fixen:

Zitat:

O2 - BHO: (no name) - {1128ac57-1b58-42c7-9618-8736ff680759} - C:\WINDOWS\system32\soletemo.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - MEDIONshop Deutschland (file missing) (HKCU)

4.) Versteckte Dateien anzeigen lassen (Arbeitsplatz -> Extras -> Ordneroptionen -> Ansicht -> Alle Dateien und Ordner anzeigen -> Hacken setzen)

5.) Download von Malwarebytes' Anti-Malware. Danach installieren und die aktuellen Updates herunterladen. Vollständiger Systemscan auswählen und starten. Sobald der Scan beendet ist, klickst du auf "Ausgewähltes entfernen" und postest das Ergebnis dann hier!

LG Crusader

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1574
Windows 5.1.2600 Service Pack 3

31.12.2008 13:37:38
mbam-log-2008-12-31 (13-37-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 165945
Laufzeit: 1 hour(s), 28 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP333\A0198336.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP339\A0202737.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP342\A0203961.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP343\A0204185.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP344\A0206180.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP345\A0208328.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP345\A0208330.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP345\A0208332.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP299\A0127407.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bihomojo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\royotago.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yolozode.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zufeyibi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wofuhipe.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wojifizi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nekoneto.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

Hallo Darksool,

1.) Lade dir SUPERAntiSpyware herunter und installiere es. Folge den Anweisungen und poste das entstandene Logfile!

3.) Downloade dir CCleaner, installiere ihn und navigiere zu Extras -> Programme deinstallieren -> Als Textdatei speichern.... Das Ergebnis hier posten! Anschließend noch alles bereinigen, wie in der Anleitung beschrieben!

4.) Lade F-Secure Blacklight in einen eigenen Ordner herunter, z.B. C:\Programme\Blacklight. Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
Klick "I accept the agreement", "next", "Scan". Wenn der Scan fertig ist beende Blacklight mit "Close". Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

5.) Aktuelle HijackThis Log posten!

LG Crusader

Weitere werden folgen

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/02/2009 at 07:25 PM

Application Version : 4.24.1004

Core Rules Database Version : 3693
Trace Rules Database Version: 1669

Scan type : Complete Scan
Total Scan Time : 01:02:23

Memory items scanned : 627
Memory threats detected : 0
Registry items scanned : 8089
Registry threats detected : 0
File items scanned : 30428
File threats detected : 2

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Brigitte\Cookies\brigitte@webmasterplan[2].txt
C:\Dokumente und Einstellungen\Brigitte\Cookies\brigitte@ad.yieldmanager[1].txt

Hallo darksool,

1.) Bitte folgende(s) Programm(e) deinstallieren:

Zitat:

Adobe Reader 8 - Deutsch
J2SE Runtime Environment 5.0 Update 4

2.) Hattest du in letzter Zeit oft nervige Werbefenster beim Surfen? Dafür ist höchstwahrscheinlich dieses Programm bzw. sein Sponsor verantwortlich:

Zitat:

Messenger Plus! Live & Sponsor (CiD)

Bitte auch deinstallieren!

3.) Lade dir bitte die aktuelle Version von Java und Adobe Reader herunter!

Bitte noch nachholen:

4.) Lade F-Secure Blacklight in einen eigenen Ordner herunter, z.B. C:\Programme\Blacklight. Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
Klick "I accept the agreement", "next", "Scan". Wenn der Scan fertig ist beende Blacklight mit "Close". Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

5.) Aktuelles HijackThis Log posten!

Hallo , ich habe aber noch vorher eine Frage gibt es irgendwie eine Möglichkeit sowas zu lernen bzw Seiten die sowas zu Verfügung stellen , weil ich das sehr spannend und interessant finde was ihr hier macht =) :daumenhoc

Ich springe dann mal ein.. :schmoll:

Sag mal hast du dir zwischenzeitlich den KGB Keylogger installiert??

Du kannst bei uns lernen. Einfach mitlesen und viel fragen. Besser erstmal lange keine Hilfe geben sondern Erfahrungen sammel. Die am eigenen Test PC ausprobieren und wenns langsam passt dann die einfachen Threads übernehmen..

Bei dir läuft ein Keylogger! Ändere dringend von einem anderen definitiv sauberen PC aus alle deine Zugangs Acc und Passwörter und logge dich von deinem verseuchten PC aus nirgens mehr ein!
Sage das auch unbedingt deinen Eltern!

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

C:\Programme\KGB\Mpk.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Software rule flag owns\free comp.exe
O4 - HKCU\..\Run: [Sixth Idol] C:\DOKUME~1\Brigitte\ANWEND~1\OPTION~1\Stop Aim.exe
O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exe
O20 - AppInit_DLLs: c:\windows\system32\nasikaje.dll,C:\WINDOWS\system32\kapidapu.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

ja den habe ich extra hinzugefügt ^^ war auf ne lan ...... echt wie toll so ein ding ist .....

28 bytes
MD5...: 7fdb75dc5e39eba201cf2a00953393fb
SHA1..: 6035f23aed6f3435b5420182dcc4798d6ee12350
SHA256: 1d9327037062b9666e7fd9af56a6ade10243d05020f96ae868f4a02e6abeb3f7
SHA512: 5083ec61fe0e9f50c5f6d1beb8c98a6f47ae9956201b1c7c835ff5273468470b
f778e9c7f26b61f6cb3ae2cffa6aa9eea5a892fe02c52bb2058ad7424930578e
ssdeep: 24576:7xDtCY+YxddWXLhhv0YqRgByn9JcsoKokm:7xJCUxddWXLOONhk
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x411cfd
timedatestamp.....: 0x46e4ffad (Mon Sep 10 08:26:21 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3b5ec 0x3c000 6.56 957645bbf3d2185e79585b35bd92b85a
.rdata 0x3d000 0x63afd 0x64000 7.98 6dfed592fb8e5afbdad2ea330532c221
.data 0xa1000 0x21980 0x22000 7.33 f3dbea9308d0d22d401f1211398de39d
.rsrc 0xc3000 0x1638c 0x17000 5.80 9789b8ae1b1eeb853c0e365c6de0367a

( 7 imports )
> comdlg32.dll: ChooseColorA, ChooseFontW, PageSetupDlgW, PrintDlgA
> ADVAPI32.dll: DuplicateTokenEx, CryptVerifySignatureW, RegCreateKeyExA, CryptEnumProvidersW, LookupPrivilegeNameA, CryptAcquireContextA, RegDeleteValueW, CryptGenKey, RegReplaceKeyA, CryptDuplicateHash, RegNotifyChangeKeyValue, CryptHashSessionKey, LookupPrivilegeValueA, CryptSignHashW, RegEnumKeyW, CryptSetProviderA, CryptSetHashParam, RegLoadKeyW, DuplicateToken, CryptSetKeyParam
> GDI32.dll: DeleteDC, GetTextColor, GetBkMode, GetSystemPaletteUse, SelectObject, Ellipse, SetDIBitsToDevice, GetTextExtentPointA, GetObjectA, SetGraphicsMode, PlayMetaFile, FloodFill, GetEnhMetaFileW, CreateCompatibleBitmap, CreateDCW, GetGlyphOutlineA, GetWindowOrgEx, GetDeviceCaps, ExtTextOutW
> comctl32.dll: ImageList_SetBkColor, ImageList_SetIconSize, ImageList_GetIconSize, ImageList_DrawIndirect, CreateUpDownControl, InitCommonControlsEx, ImageList_Create, GetEffectiveClientRect
> KERNEL32.dll: GetEnvironmentStringsW, IsValidCodePage, GetThreadTimes, GetOEMCP, GlobalCompact, GetConsoleMode, HeapReAlloc, WriteConsoleA, OpenFile, WritePrivateProfileSectionA, SetEnvironmentVariableA, FlushFileBuffers, LeaveCriticalSection, GetCPInfo, GetCurrentProcessId, GetThreadPriority, FindFirstFileExW, GetCommandLineW, HeapFree, GetTickCount, RtlUnwind, DeleteFiber, InterlockedExchange, GetPrivateProfileSectionW, EnumResourceLanguagesA, SetHandleCount, TlsFree, GetFileType, WriteConsoleOutputCharacterA, FreeEnvironmentStringsW, GetFileAttributesExA, lstrcpyn, LoadLibraryA, FindFirstFileExA, WideCharToMultiByte, GetACP, GetTimeFormatW, GetStringTypeA, SetLastError, GetDriveTypeA, WriteFile, Sleep, LCMapStringW, GetEnvironmentStrings, CompareStringW, GetUserDefaultLCID, TlsSetValue, FreeLibrary, GetLocaleInfoW, UnhandledExceptionFilter, GetStdHandle, GetProfileIntA, GetCurrentThread, SetStdHandle, GetModuleFileNameA, QueryPerformanceCounter, GetConsoleOutputCP, InterlockedIncrement, SetConsoleMode, VirtualQuery, FindResourceExA, GetStartupInfoW, FindFirstFileW, CreateWaitableTimerA, GetCurrentThreadId, InitializeCriticalSection, SetConsoleScreenBufferSize, LCMapStringA, GetModuleFileNameW, ReadConsoleOutputCharacterA, SetCurrentDirectoryW, SetFilePointer, FreeEnvironmentStringsA, GetModuleHandleA, GetTimeZoneInformation, TlsAlloc, CreateThread, GlobalUnlock, CreateFileA, GetLongPathNameW, GetConsoleCP, MultiByteToWideChar, VirtualAlloc, GetLastError, EnterCriticalSection, LoadResource, GetTimeFormatA, GetSystemTimeAsFileTime, CreateMutexA, ExitProcess, GetVersionExA, EnumCalendarInfoExA, IsValidLocale, GetProcessHeap, HeapSize, CompareFileTime, CompareStringA, TerminateProcess, LocalFlags, IsDebuggerPresent, GetDateFormatA, SetConsoleCtrlHandler, ReadFile, GetStartupInfoA, lstrcpyA, CloseHandle, GetSystemDefaultLCID, EnumSystemLocalesA, TlsGetValue, FindAtomW, VirtualFree, GetPrivateProfileIntW, GetLocaleInfoA, CreateMailslotW, GetProfileIntW, HeapCreate, GetWindowsDirectoryW, CreateEventA, MoveFileA, WriteConsoleW, IsBadWritePtr, GetCurrentDirectoryA, OpenMutexA, FlushConsoleInputBuffer, InterlockedDecrement, GetThreadLocale, GetStringTypeW, GetCommandLineA, EnumDateFormatsA, GetProcAddress, SetComputerNameW, HeapAlloc, GetFileSize, SetUnhandledExceptionFilter, DeleteCriticalSection, GetCurrentProcess, HeapDestroy
> WININET.dll: RetrieveUrlCacheEntryStreamA, SetUrlCacheConfigInfoW, SetUrlCacheConfigInfoA, UpdateUrlCacheContentPath, InternetCombineUrlW
> USER32.dll: SetRectEmpty, SetWindowsHookExA, GetKeyNameTextA, RegisterClassA, BlockInput, MonitorFromPoint, SetWindowPos, UnloadKeyboardLayout, GetMenuItemID, GetUserObjectSecurity, RegisterClassExA, InsertMenuW, WaitForInputIdle, ReuseDDElParam, SetWindowTextW, KillTimer, DdeQueryConvInfo, GetSysColor, SetScrollPos, EndDeferWindowPos, OffsetRect, DlgDirSelectComboBoxExW, OemToCharW