Virtumonde.dll - Spybot löscht nicht - Einsatz von ComboFix, VundoFix, VirtumondoBeGone hilft nicht
 

Hallo,

ich bin neu hier in dieser Runde.
Spybot erkannte vor 2 Tagen Virtumonde.dll, der sich mehrfach nicht löschen liess. - Ich informierte mich in Eurem Forum und orientierte mich an den genannten Tipps, die ein anderer User erhielt. - Doch Virtumonde.dll ist immer noch da.

Spybot Fehlermeldung beim ersten Scan:
Virtumonde.dll
(SBI$4792FFB9) Bibliothek
C:\Windows\System32\mfc40.dll_tobe_deleted
(SBI$4792FFB9) Bibliothek
C:\Windows\System32\mfc40.dll

Vorgehensweise:
1) CCleaner
2) ComboFix - mit Logfile-Auswertung
3) VundoFix - keine infizierten Dateien gefunden - keine LogfileAuswertung
4) VirtumondoBeGone.exe im abgesicherten Modus Netzwerktreiber - mit Logfile-Auswertung
5) HiJackThis - LogfileAuswertung

Danach habe ich erneut Spybot scannen lassen, jedoch immer noch mit Fund:

Spybot Fehlermeldung beim zweiten Scan:
DoubleClick:
Verfolgender Cookie (Firefox: Administrator)
.doubleclick.net/ (id)
Virtumonde.dll:
(SBI$4792FFB9) Bibliothek
C:\Windows\System32\mfc40.dll

Nun bitte ich Euch um Hilfestellung, da ich keine Ahnung habe wie ich den Trojaner endgültig gelöscht bekomme.

Danke.
Arcturus

:dankeschoen:

Hi und :hallo:

Warum führst Du auf eigene Faust Combofix auf? Das sollst Du erst auf Anweisung hin ausführen - so steht es jedenfalls überall hier dick und fett, unübersehbar! :balla:

Was ist mit malwarebytes? Das schon ausgeführt? Wenn ja => alle Logs davon posten!

Hallo Cosinus,

Malwarebytes (Freeware Version von Chip.de - aktuelles Update durchgeführt) habe ich nun laufen lassen (vollständiger Suchlauf). - Ergebnis: keine infizierten Dateien gefunden. - Logdatei füge ich bei.

Was nun?

Danke und Grüsse,
Arcturus


P.S. Um Deine Frage zu beantworten: Da ich hier neu bin, habe ich mich, wie aufgefordert, orientiert und quergelesen. Unter http://www.trojaner-board.de/51943-virtumonde-dll.html schien ich den für mich passenden Artikel zu finden. - Um ein und die selben Fragen nicht doppelt zu stellen, folgte ich zuerst dieser Hilfestellung.

Hat malwarebytes nichts gefunden oder ist das nur das neue Log ohne Funde? Hast noch ältere Logs mit Funden?

Hallo Cosinus,

Malwarebytes, aktuelle Version mit neuestem Datenstand, habe ich gestern das erste Mal laufen lassen. Im detaillierten Scan (gestern) und im Quickscan (soeben - Logdatei anbei) wurden keine infizierten Dateien gefunden. Ältere Logdateien habe ich von Malwarebytes daher nicht.

Zur Sicherheit habe ich soeben auch nochmals Spybot laufen lassen. Auch hier soeben die Rückmeldung, dass keine Spione gefunden wurden.

Fakt ist jedoch, dass innerhalb der letzten Tage mehrmals Virtumonde.dll von Spybot gefunden wurde. Nach der "Desinfizierung" durch Spybot war Virtumonde.dll immer noch da. - Bis auf den letzten Scan, den ich soeben durchführte.

Kann sich die Malware irgendwo/ irgendwie verstecken?
Was kann ich alternativ tun, um sicherzustellen, dass der PC clean ist?
Welche Prävention für die Zukunft schlägst Du vor? (Neben Spybot haben wir die gekaufte Version von G Data InternetSecurity 2010 laufen, die jedoch Virtumonde.dll nicht gefunden hatte).

Danke und Grüsse
Arcuturs

Aktualisier mal bitte auf Version 1.50 und mach danach auch ein Signaturupdate.
Dann bitte noch nen Vollscan starten.

Hallo Cosinus,

Malwarebytes Version 1.50, aktuelles Signaturupdate, habe ich mit Vollscan laufen lassen. - Keine Funde. Logdatei anbei.

Ebenfalls habe ich G-Datei InternetSecurity 2010 speziell auf Root-Kits prüfen lassen. - Ausdruck ebenfalls anbei.

Wie weiter?
Danke und Grüsse,
Arcturus

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Cosinus,

Scan mit OTL habe ich ausgeführt. Anbei die beiden Logdateien.

Grüsse
Arcturus

OTL-Log ist recht unauffällig.

Du hast natürlich vor dem Einsatz von CF den Virenscanner deaktiviert? Sieht irgendwie nicht danach aus. Könnte der Grun sein warum das CF-Log auch so spärlich ist.

Hallo Cosinus,

ich gehe davon aus, dass mit "CF" ComboFix gemeint ist.
Soeben habe ich ComboFix nochmals laufen lassen, der Virenscanner war dabei ausgeschaltet.

Logdatei anbei.

Grüsse
Arcturus

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Cosinus,

GMER lief über mehrere Stunden - Logdatei anbei.
OSAM und MBRCheck liefen schnell - Dateien auch anbei.

Wie weiter?

Danke und Grüsse,
Arcturus

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Cosinus,

Malwarebytes und SuperAntiSpyware sind gelaufen (jeweils mit aktuellem Update). Beim Lauf von Malwarebytes ist das Programm einmal abgestürzt / hängenbeblieben. Danach neuer Scan mit vollständigem Abschluss. - Beide Programme fanden nichts. - Logdateien anbei.

Und nun - wie weiter?
Grüsse
Arcturus

Sieht ok aus.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo Cosinus,

ich habe soeben G-Data und Spybot laufen lassen (aktualisiert). - Keine Funde.

Zuvor löschte ich jedoch alle Scanner-Programme, die ich in den letzten Tagen installiert hatte. - Danach, beim Update von G-Data, kam mehrmals die Meldung "Update fehlgeschlagen" und "unbekannter Fehler 5705". Aktuelle Anfrage bei G-Data läuft. - Mal kam diese Meldung, mal auch nicht mehr (dann war das Uptdate erfolgreich).

Beim Scannen mit Spybot ist mir aufgefallen, dass in der unteren Leiste wie folgt steht: "Produkt-Überprüfung läuft (1072771 / 1359854: Virtumonde.sci)
Spybot hat keine Schädlinge gefunden, warum wird hier jedoch "Virtumonde.sci" aufgeführt?

Gibt es noch etwas was ich tun kann?
Danke für Deine Unterstützung.
Grüsse
Arcuturs

Spybot hat in der letzten Zeit IMHO sehr stark nachgelassen und glänzte auch mit einigen Fehlalarmen. Ich wär dafür das Teil zu löschen.

Hallo Cosinus,

was schlägst Du als Alternative zu Spybot vor? Was nutzt Du?
Aktuell läuft die gekaufte Version von G-Data 2010 Internetsecurity, mit der ich auch zufrieden bin. - Spybot bekam ich seinerzeit als Zusatzprogramm empfohlen.
Vielen Dank. - besonders auch für die Hilfestellung am Wochenende.
Arcuturs

Wofür? Du hast doch einen Virenscanner!
Auf meinen Windows-Kisten läuft max. Malwarebytes.

Würde ich nicht nutzen, denn Security Suites kommen mit einer "Firewall" daher, die sind idR niemals zu gebrauchen.