|
Log-Analyse und Auswertung: Iwe kann man Virtumonde entfernen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.11.2005, 21:47 | #1 |
| Iwe kann man Virtumonde entfernen? Hallo ihr fleißigen Helfer. Sorry, dass ich euch mit einem Problem nerve, das sicher schon öfter gestelllt wurde. Ich hab echt sämtliche Programme probiert, um Virtumonde, was auf Gott weiss was für einen Weg auf meinen PC gekommen ist zu entfernen. Jedes Mal wenn ich Virtumonde mit Ad-aware, etc. gelöscht habe, kommt es nach einem Neustart wieder. Ich komme einfach keinen noch so kleinen Schritt weiter. Es wäre Klasse, wenn mir jemand helfen könnte. Herzlichen Dank im voraus! Hier ist das Logfile: Logfile of HijackThis v1.99.1 Scan saved at 21:37:10, on 23.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\System32\alg.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\mysql\bin\winmysqladmin.exe C:\Programme\FRITZ!DSL\StCenter.EXE C:\Programme\Mozilla Firefox\firefox.exe G:\Downloads\Hijacking\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/Herzlich_Willkommen/b1/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/Herzlich_Willkommen/b1/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\pmnnm.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128218925649 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128218916711 O18 - Protocol: stibo - {FFAD3420-6D61-44F6-BA25-293F17152D79} - C:\Programme\Gemeinsame Dateien\Stibo\RS_ProtocolHandler.dll O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll O20 - Winlogon Notify: pmnnm - C:\WINDOWS\system32\pmnnm.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
23.11.2005, 22:44 | #2 | ||||
| Iwe kann man Virtumonde entfernen? @surfingpopp
__________________#Lade de dir VundoFix.exe auf dem Desktop entpacken! #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen. #lade Adaware, Spybot unbeding Update,noch nicht scannen. #PC neustarten--> abgesicherter Modus Doppelklick auf VundoFix.exe,dann auf Install,danach wird ein Ordner VundoFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf KillVundo.bat #Nun wird folgendes angezeigt: Zitat:
#Nun wird folgendes angezeigt: Zitat:
C:\WINDOWS\system32\pmnnm.dll #Dann drücke auf Enter #Nun wird folgendes angezeigt: Zitat:
C:\WINDOWS\system32\mnnmp.* #Dann drücke auf Enter #Nun wird HijackThis geöffnet! "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\pmnnm.dll O20 - Winlogon Notify: pmnnm - C:\WINDOWS\system32\pmnnm.dll #schließe HijackThis,dann drücke auf Enter,wird PC neugestartet #Lade dir VirtumundoBegone & auf dem Desktop speichern.Bitte schliesse alle anderen Programme. Doppelklicke auf VirtumundoBeGone.exe & Anweisungen folgen . Achtung der Computer wird automatisch neustarten und mit einen Bluescreen Stop Error. Das ist normal. #PC neustarten--> abgesicherter Modus 1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. copiere diser Code rein: Zitat:
4. Doppel klick auf diese Datei fixvundo.reg #PC neustarten--> abgesicherter Modus Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Loesche: C:\WINDOWS\system32\pmnnm.dll #PC neustarten--> abgesicherter Modus #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan) #Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen. #Inhalt folgende ordner loeschen: C:\Dokumente und Einstellungen\<Username>\Lokale Einstellungen\Temp---> Inhalt löschen C:\Dokumente und Einstellungen\<Usename>\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen C:\WINDOWS\temp---> Inhalt löschen #Neue HijackThis Log,den Inhalt der Datei VBG.txt, die Du auf dem Desktop findest && den Report des Ewido Scans hier posten. Gruss Expert |
25.11.2005, 19:06 | #3 |
| Iwe kann man Virtumonde entfernen? Hallo Expert.
__________________Danke für die nette und ausführliche Anleitung. Leider hat es nichts genützt und ich habe mich nun doch zu einer Neuinstallation durchgerungen. Dadurch ist Virtumonde natürlich weg. Also nochmals vielen Dank und ein schönes Wochenende! Gruß, surfingpopp |
25.11.2005, 19:37 | #4 | |
| Iwe kann man Virtumonde entfernen?Zitat:
Gruss Expert |
12.12.2005, 21:50 | #5 | |
| Iwe kann man Virtumonde entfernen? hi! hab hier einen laptop einer bekannten der verseucht wie sau ist. nach 2 tagen kampf hab ich jetzt nur mehr dieses scheissteilchen am hals. um nur ja nichts falsch zu machen, bei mir heisst die datei qomkh.dll ok, das muss ich so eingeben. aber beim 2.befehl bin ich mir unsicher. is das ein tippfehler, oder wie muss ich die 2 befehlszeile eingeben? vllt eine erklärung warums bei surfingpopp nicht geklappt hat. thnx schon mal... Zitat:
__________________ greez sjfm ich boote, drum bin ich... |
13.12.2005, 08:45 | #6 |
| Iwe kann man Virtumonde entfernen? hi! danke, hat sich schon erledigt. ich war auf dem richtigen weg und habs geschafft.
__________________ --> Iwe kann man Virtumonde entfernen? |
05.06.2006, 20:31 | #7 | |
| Iwe kann man Virtumonde entfernen?Zitat:
Habe den Virus auch gleich drauf.. nur habe ich hier das Problem, das ich HIER nicht weiter weiss..... Der PC startet auch nicht neu, wie in den Schritten beschrieben... Als ich den Virus auf dem PC gesehen hatte, bin ich nmit Ad-Aware drüber gegangen... 3-4 mal.. aber der Virus war immer noch da. Help Plz So long T3rryHU |
01.07.2006, 07:42 | #8 | |
| Iwe kann man Virtumonde entfernen? Guten Morgen erstmal ich habe ein ähnliches problem wie meine vorposter und nachdem ich mir Ewido gezogen hab, stellte ich fest dass der virus nach jeder anwendung erneut angezeigt wird. nun bei mir handelt es sich im die datei: C:\WINDOWS\System32\pmkhe.dll jetzt will ich fragen ob die anwendung die gleiche ist wie beim threadersteller, oder ob ich noch etwas ändern muss. hier erstmal mein hijack this log: ( falls noch andere proggis drauf sind, die nicht gern gesehen werden, bitte ich auch hier um rückmeldung) Zitat:
Geändert von Raubi (01.07.2006 um 07:58 Uhr) |
14.11.2006, 10:49 | #9 |
| Iwe kann man Virtumonde entfernen? [edit] eröffne für dein problem bitte einen eigenen beitrag danke GUA [/edit] |
14.11.2006, 16:29 | #10 | |
| Iwe kann man Virtumonde entfernen? mOIn auch hast du mal auf das Datum dieses Beitrages geachtet ? Der Zustand deines Systems läßt sehr zu wünschen übrig Zitat:
serm32.exe (Ändere alle Passwörter) Lade dir das Servicepack 2 sowie alle Folgeupdates bei M$ und setze deinen Rechner nach dieser Anleitung neu auf. MFG |
27.05.2008, 18:19 | #11 |
| Iwe kann man Virtumonde entfernen? Habe auch den Virtumondo drauf. Wahrscheinlich eine neue Version, keine Ahnung, aber weder die Anleitung die hier gepostet wurde noch eine US Anleitung die ich im Netz fand, haben geholfen, obwohl alle Schritte genau ausgeführt worden sind. Virtumondo ist noch da und verursacht einen Käfer, der sich wie ein Bildschirmschoner verhält. Er frist nach 5 Minuten ohne Aktivität mit der Maus oder Tastatur einfach den Desktop weg. Hat noch jemand einen Rat? Ekelhaft das Zeug... Gruss Euroro |
27.12.2008, 17:06 | #12 |
| Iwe kann man Virtumonde entfernen? [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA [/edit] |
Themen zu Iwe kann man Virtumonde entfernen? |
ad-aware, adobe, antivir, bho, browser, dsl, entfernen, explorer, firefox, helfen, herzlichen dank, hijack, hijackthis, internet, internet explorer, logfile, monitor, mozilla, mozilla firefox, msevents, object, pc tools spyware doctor, photoshop, problem, software, spyware, system, unknown file in winsock lsp, virtumonde, windows, windows xp |