Iwe kann man Virtumonde entfernen?

surfingpopp · 23.11.2005, 21:47

Hallo ihr fleißigen Helfer. Sorry, dass ich euch mit einem Problem nerve, das sicher schon öfter gestelllt wurde.

Ich hab echt sämtliche Programme probiert, um Virtumonde, was auf Gott weiss was für einen Weg auf meinen PC gekommen ist zu entfernen. Jedes Mal wenn ich Virtumonde mit Ad-aware, etc. gelöscht habe, kommt es nach einem Neustart wieder.

Ich komme einfach keinen noch so kleinen Schritt weiter. Es wäre Klasse, wenn mir jemand helfen könnte. Herzlichen Dank im voraus!

Hier ist das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:37:10, on 23.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\mysql\bin\winmysqladmin.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\Mozilla Firefox\firefox.exe
G:\Downloads\Hijacking\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\pmnnm.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128218925649
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128218916711
O18 - Protocol: stibo - {FFAD3420-6D61-44F6-BA25-293F17152D79} - C:\Programme\Gemeinsame Dateien\Stibo\RS_ProtocolHandler.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: pmnnm - C:\WINDOWS\system32\pmnnm.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Expert · 23.11.2005, 22:44

@surfingpopp

#Lade de dir VundoFix.exe auf dem Desktop entpacken!

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Doppelklick auf VundoFix.exe,dann auf Install,danach wird ein Ordner VundoFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf KillVundo.bat

#Nun wird folgendes angezeigt:

Zitat:

VundoFix V2.15 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue....

#Dann drücke auf Enter

#Nun wird folgendes angezeigt:

Zitat:

Please Type in the filepath as instructed by the forum staff
and then press enter:

#Bitte so eingeben oder Reinkopieren:
C:\WINDOWS\system32\pmnnm.dll

#Dann drücke auf Enter

#Nun wird folgendes angezeigt:

Zitat:

Please type in the second filepath as instructed by the forum
staff then press enter:

Bitte so eingeben oder Reinkopieren:
C:\WINDOWS\system32\mnnmp.*

#Dann drücke auf Enter

#Nun wird HijackThis geöffnet!
"Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken
O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\pmnnm.dll
O20 - Winlogon Notify: pmnnm - C:\WINDOWS\system32\pmnnm.dll

#schließe HijackThis,dann drücke auf Enter,wird PC neugestartet

#Lade dir VirtumundoBegone & auf dem Desktop speichern.Bitte schliesse alle anderen Programme.
Doppelklicke auf VirtumundoBeGone.exe & Anweisungen folgen .
Achtung der Computer wird automatisch neustarten und mit einen Bluescreen Stop Error. Das ist normal.

#PC neustarten--> abgesicherter Modus
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

Zitat:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}]

[-HKEY_CLASSES_ROOT\CLSID\{581F22DA-7202-4F21-AEF3-114787156016}]

[-HKEY_CLASSES_ROOT\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]

[-HKEY_CLASSES_ROOT\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}]

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents]

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]

3. Speichere die Datei als fixvundo.reg auf Desktop
4. Doppel klick auf diese Datei fixvundo.reg

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:
C:\WINDOWS\system32\pmnnm.dll

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\<Username>\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\<Usename>\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

#Neue HijackThis Log,den Inhalt der Datei VBG.txt, die Du auf dem Desktop findest && den Report des Ewido Scans hier posten.

Gruss
Expert

surfingpopp · 25.11.2005, 19:06

Hallo Expert.

Danke für die nette und ausführliche Anleitung.
Leider hat es nichts genützt und ich habe mich nun doch zu einer Neuinstallation durchgerungen. Dadurch ist Virtumonde natürlich weg.

Also nochmals vielen Dank und ein schönes Wochenende!

Gruß,

surfingpopp

Expert · 25.11.2005, 19:37

Zitat:

Zitat von surfingpopp

Hallo Expert.

Danke für die nette und ausführliche Anleitung.
Leider hat es nichts genützt und ich habe mich nun doch zu einer Neuinstallation durchgerungen. Dadurch ist Virtumonde natürlich weg.

Also nochmals vielen Dank und ein schönes Wochenende!

Gruß,

surfingpopp

Doch es sollte funktionieren,hat immer funktioniert

Gruss
Expert

sjfm · 12.12.2005, 21:50

hi!
hab hier einen laptop einer bekannten der verseucht wie sau ist.
nach 2 tagen kampf hab ich jetzt nur mehr dieses scheissteilchen am hals.
um nur ja nichts falsch zu machen, bei mir heisst die datei qomkh.dll
ok, das muss ich so eingeben. aber beim 2.befehl bin ich mir unsicher.
is das ein tippfehler, oder wie muss ich die 2 befehlszeile eingeben?
vllt eine erklärung warums bei surfingpopp nicht geklappt hat.
thnx schon mal...

Zitat:

Zitat von Expert

#Nun wird folgendes angezeigt:

#Bitte so eingeben oder Reinkopieren:
C:\WINDOWS\system32\pmnnm.dll

#Dann drücke auf Enter

#Nun wird folgendes angezeigt:

Bitte so eingeben oder Reinkopieren:
C:\WINDOWS\system32\mnnmp.*

sjfm · 13.12.2005, 08:45

hi!
danke, hat sich schon erledigt. ich war auf dem richtigen weg und habs geschafft.

T3rryHU · 05.06.2006, 20:31

Zitat:

[06/05/2006, 21:23:01] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\NAME\Desktop\VirtumundoBeGone.exe" )
[06/05/2006, 21:23:05] - Detected System Information:
[06/05/2006, 21:23:05] - Windows Version: 5.1.2600,
[06/05/2006, 21:23:05] - Current Username: NAME (Admin)
[06/05/2006, 21:23:05] - Windows is in SAFE mode with Networking.
[06/05/2006, 21:23:05] - Searching for Browser Helper Objects:
[06/05/2006, 21:23:05] - BHO 1: {53707962-6F74-2D53-2644-206D7942484F} ()
[06/05/2006, 21:23:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/05/2006, 21:23:05] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[06/05/2006, 21:23:05] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[06/05/2006, 21:23:05] - BHO 2: {61C07AF3-01A3-4B85-ADB2-4EFD04E1286C} (DPCUpdater Object)
[06/05/2006, 21:23:05] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/05/2006, 21:23:05] - BHO 4: {77701e16-9bfe-4b63-a5b4-7bd156758a37} ()
[06/05/2006, 21:23:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/05/2006, 21:23:05] - No filename found. Continuing.
[06/05/2006, 21:23:05] - Finished Searching Browser Helper Objects
[06/05/2006, 21:23:05] - Finishing up...
[06/05/2006, 21:23:05] - Nothing found! Exiting...

Hallo...
Habe den Virus auch gleich drauf.. nur habe ich hier das Problem, das ich HIER nicht weiter weiss.....

Der PC startet auch nicht neu, wie in den Schritten beschrieben...

Als ich den Virus auf dem PC gesehen hatte, bin ich nmit Ad-Aware drüber gegangen... 3-4 mal.. aber der Virus war immer noch da.

Help Plz

So long
T3rryHU

Raubi · 01.07.2006, 07:42

Guten Morgen erstmal

ich habe ein ähnliches problem wie meine vorposter und nachdem ich mir Ewido gezogen hab, stellte ich fest dass der virus nach jeder anwendung erneut angezeigt wird.

nun bei mir handelt es sich im die datei:
C:\WINDOWS\System32\pmkhe.dll

jetzt will ich fragen ob die anwendung die gleiche ist wie beim threadersteller, oder ob ich noch etwas ändern muss.

hier erstmal mein hijack this log: ( falls noch andere proggis drauf sind, die nicht gern gesehen werden, bitte ich auch hier um rückmeldung)

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 23:24:28, on 30.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\....exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\....exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\DIVERS~1\ICQLIT~1\ICQ\ICQ.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Software\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://w+w.freenet.de/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://w+w.msn.de/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\System32\pmkhe.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\DIVERS~1\ICQLIT~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\DIVERS~1\ICQLIT~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\DIVERS~1\ICQLIT~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Diverses zu Spiele\ICQLiteV4\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Diverses zu Spiele\ICQLiteV4\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - h++p://www.medionshop.de/[/url] (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204[/url]
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - h++p://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124116604890[/url]
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - h++p://playroom.icq.com/odyssey_web11.cab[/url]
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h++p://xtraz.icq.com/xtraz/activex/MISBH.cab[/url]
O20 - Winlogon Notify: kmmvadnx - C:\WINDOWS\SYSTEM32\kmmvadnx.dll
O20 - Winlogon Notify: pmkhe - C:\WINDOWS\System32\pmkhe.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

mfg raubi

Rudyx · 14.11.2006, 10:49

[edit]
eröffne für dein problem bitte einen eigenen beitrag

danke
GUA
[/edit]

nochdigger · 14.11.2006, 16:29

mOIn auch

hast du mal auf das Datum dieses Beitrages geachtet

?

Der Zustand deines Systems läßt sehr zu wünschen übrig

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

In deinem System ist mindestens ein Backdoortrojaner aktiv :
serm32.exe
(Ändere alle Passwörter)

Lade dir das Servicepack 2 sowie alle Folgeupdates bei M$ und setze deinen Rechner nach dieser Anleitung neu auf.

MFG

euroro · 27.05.2008, 18:19

Habe auch den Virtumondo drauf. Wahrscheinlich eine neue Version, keine Ahnung, aber weder die Anleitung die hier gepostet wurde noch eine US Anleitung die ich im Netz fand, haben geholfen, obwohl alle Schritte genau ausgeführt worden sind. Virtumondo ist noch da und verursacht einen Käfer, der sich wie ein Bildschirmschoner verhält. Er frist nach 5 Minuten ohne Aktivität mit der Maus oder Tastatur einfach den Desktop weg.
Hat noch jemand einen Rat?
Ekelhaft das Zeug...
Gruss
Euroro

Doomhammer84 · 27.12.2008, 17:06

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]

Iwe kann man Virtumonde entfernen?

Log-Analyse und Auswertung: Iwe kann man Virtumonde entfernen?