Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: virtumonde.dll Trojaner oder Fehlalarm?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.10.2009, 10:08   #1
Muchote
 
virtumonde.dll Trojaner oder Fehlalarm? - Standard

virtumonde.dll Trojaner oder Fehlalarm?



Guten Tag allerseits!

Spybot Search&Destroy findet und "entfernt" bei mir seit einigen Tagen ständig "virtumonde.dll"

Als ich irgendwann mal gegoogelt habe, stellte ich mit erschrecken fest, dass dies ein Trojaner ist. Allerdings habe ich auch von Fehlalarmen seitens Spybot gelesen.

Avira Antivir findet nichts.

Da der Rechner jedoch seit einer Weile auch recht langsam ist, befürchte ich, dass er evtl. doch infiziert ist.

Daher wollte ich hier mal nachfragen, ob jemand was erkennen kann und wenn ja, wie ich dagegen vorgehen könnte.

Ich würde mich tierisch freuen, wenn sich jemand die Zeit nimmt, sich das mal anzusehen

Angaben zu meinem Rechner:

Zitat:
Betriebssystemname Microsoft Windows XP Professional
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname ****
Systemhersteller MiTAC
Systemmodell Notebook PC
Systemtyp X86-basierter PC
Prozessor x86 Family 6 Model 22 Stepping 1 GenuineIntel ~1861 Mhz
BIOS-Version/-Datum Phoenix Technologies LTD R1.05, 27.08.2007
SMBIOS-Version 2.4
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername ***
Zeitzone Westeuropäische Sommerzeit
Gesamter realer Speicher 2.048,00 MB
Verfügbarer realer Speicher 1,04 GB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 3,72 GB
Auslagerungsdatei C:\pagefile.sys
Hijackthis-Logfile:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:45:03, on 05.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SanDisk\Sansa Updater\SansaDispatch.exe
C:\WINDOWS\system32\lvcomsx.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Dokumente und Einstellungen\***\Desktop\ShutdownTimer.exe
C:\Dokumente und Einstellungen\***\Desktop\ShutdownTimer.exe
C:\Dokumente und Einstellungen\***\Desktop\ShutdownTimer.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HP\Smart Web Printing\hpswp_clipbook.exe
C:\Programme\Opera\opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wiwi.uni-giessen.de/gi_sic/spic/myhome/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [Setup] D:\WSETUP\Setup.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SansaDispatch] C:\Dokumente und Einstellungen\***\Anwendungsdaten\SanDisk\Sansa Updater\SansaDispatch.exe
O4 - HKCU\..\Run: [VoipBuster] "C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - https://account.maxdome.de/presentation/script/HWTest.CAB
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {639658F3-B141-4D6B-B936-226F75A5EAC3} (CPlayFirstDinerDash2Control Object) - http://www.shockwave.com/content/dinerdash2/sis/DinerDash2.1.0.0.67.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202707862906
O16 - DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} (F-Secure Health Check 1.1) - http://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default_cms01/activex/IPSUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CA76554-BC59-4894-B9E3-E42385AB71FD}: Domain = uni-giessen.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CA76554-BC59-4894-B9E3-E42385AB71FD}: NameServer = 134.176.2.5,134.176.2.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-giessen.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-giessen.de
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 10817 bytes

Alt 05.10.2009, 20:07   #2
Muchote
 
virtumonde.dll Trojaner oder Fehlalarm? - Standard

virtumonde.dll Trojaner oder Fehlalarm?



Habe noch Malwarebytes durchlaufen lassen- hat aber nix gefunden:

Zitat:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2908
Windows 5.1.2600 Service Pack 3

05.10.2009 15:17:50
mbam-log-2009-10-05 (15-17-50).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 194865
Laufzeit: 1 hour(s), 4 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________________


Alt 05.10.2009, 20:29   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
virtumonde.dll Trojaner oder Fehlalarm? - Standard

virtumonde.dll Trojaner oder Fehlalarm?



Hallo und

Bitte diese Liste beachten und abarbeiten. (MalwareBytes kannste ja weglassen)
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________
__________________

Alt 05.10.2009, 21:25   #4
Muchote
 
virtumonde.dll Trojaner oder Fehlalarm? - Standard

virtumonde.dll Trojaner oder Fehlalarm?



Hallo!

Vielen Dank, dass Du Dich meines Problems annimmst

Hier die Logfiles von RSIT:http://http://www.file-upload.net/do.../rsit.rar.html

Gibts beim CCleaner auch Logfiles? Wenn ja, wo finde ich diese?

Vielen Dank schonmal!

Geändert von Muchote (05.10.2009 um 21:52 Uhr)

Alt 06.10.2009, 11:04   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
virtumonde.dll Trojaner oder Fehlalarm? - Standard

virtumonde.dll Trojaner oder Fehlalarm?



Der CCleaner ist nur dazu gedacht unnötige Dateien zu löschen, ein Logfile (wenn es denn sowas erstellen würde) interessiert mich garnicht.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.10.2009, 11:12   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
virtumonde.dll Trojaner oder Fehlalarm? - Standard

virtumonde.dll Trojaner oder Fehlalarm?



Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Setup

files to delete:
c:\windows\system32\kqdes.dll
c:\windows\system32\samsjv.dll

folders to delete:
D:\WSETUP

drivers to delete:
Nvi9rumgr
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________
--> virtumonde.dll Trojaner oder Fehlalarm?

Alt 06.10.2009, 11:23   #7
Muchote
 
virtumonde.dll Trojaner oder Fehlalarm? - Standard

virtumonde.dll Trojaner oder Fehlalarm?



Hallo!

Hier der Logfile

Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "c:\windows\system32\kqdes.dll" not found!
Deletion of file "c:\windows\system32\kqdes.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\samsjv.dll" not found!
Deletion of file "c:\windows\system32\samsjv.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open folder "D:\WSETUP"
Deletion of folder "D:\WSETUP" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Driver "Nvi9rumgr" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run|Setup" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 06.10.2009, 11:28   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
virtumonde.dll Trojaner oder Fehlalarm? - Standard

virtumonde.dll Trojaner oder Fehlalarm?



Nun bitte ein Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.10.2009, 11:53   #9
Muchote
 
virtumonde.dll Trojaner oder Fehlalarm? - Standard

virtumonde.dll Trojaner oder Fehlalarm?



Hier der Log:

Zitat:
ComboFix 09-10-05.01 - *** 06.10.2009 12:44.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1918.1455 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Clip Organizer\mstore10.mgc
c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Clip Organizer\Offic10.MGC
c:\recycler\S-1-5-21-2287375415-3428934022-838019132-1004
c:\recycler\S-1-5-21-2287375415-3428934022-838019132-500
c:\windows\Installer\4d6ea6.msi
c:\windows\system32\AutoRun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-09-06 bis 2009-10-06 ))))))))))))))))))))))))))))))
.

2009-10-05 12:12 . 2009-10-05 12:12 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-10-05 12:12 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-05 12:12 . 2009-10-05 12:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-05 12:12 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-05 12:12 . 2009-10-05 12:12 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-13 16:41 . 2001-08-18 02:22 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2009-09-13 16:41 . 2001-08-18 02:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2009-09-13 16:41 . 2008-04-13 18:45 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2009-09-13 16:41 . 2008-04-13 18:45 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2009-09-09 12:16 . 2009-06-21 21:45 153088 -c----w- c:\windows\system32\dllcache\triedit.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-06 10:42 . 2008-02-11 05:06 64986 ----a-w- c:\windows\system32\perfc007.dat
2009-10-06 10:42 . 2008-02-11 05:06 395084 ----a-w- c:\windows\system32\perfh007.dat
2009-10-06 09:35 . 2008-05-06 08:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-10-05 20:02 . 2008-05-07 12:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-10-04 12:12 . 2008-05-07 12:27 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-10-04 11:58 . 2008-05-07 12:28 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-08-28 21:20 . 2008-08-24 21:30 -------- d-----w- c:\programme\DivX
2009-08-28 21:20 . 2009-08-28 21:19 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-08-21 15:39 . 2009-08-21 15:39 -------- d-----w- c:\programme\Avira
2009-08-21 15:39 . 2009-08-21 15:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-08-08 21:28 . 2009-08-08 21:25 119459 ----a-w- c:\windows\hpqins00.dat
2009-08-06 17:24 . 2008-02-11 05:16 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-08-06 17:24 . 2008-02-11 05:16 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-08-06 17:24 . 2008-02-11 05:32 44768 ----a-w- c:\windows\system32\wups2.dll
2009-08-06 17:24 . 2008-02-11 05:16 35552 ----a-w- c:\windows\system32\wups.dll
2009-08-06 17:24 . 2008-02-11 05:16 53472 ----a-w- c:\windows\system32\wuauclt.exe
2009-08-06 17:24 . 2008-02-11 05:06 96480 ----a-w- c:\windows\system32\cdm.dll
2009-08-06 17:23 . 2008-02-11 05:16 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-08-06 17:23 . 2008-05-08 12:56 215920 ----a-w- c:\windows\system32\muweb.dll
2009-08-06 17:23 . 2008-05-08 12:56 274288 ----a-w- c:\windows\system32\mucltui.dll
2009-08-06 17:23 . 2008-02-11 05:16 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-08-05 08:59 . 2008-02-11 05:06 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-28 14:33 . 2009-08-21 15:39 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-25 03:23 . 2008-12-28 00:30 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-17 19:01 . 2008-02-11 05:06 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2008-02-11 05:06 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-08-06 07:49 . 2008-05-13 11:30 67688 ----a-w- c:\programme\mozilla firefox\components\jar50.dll
2009-08-06 07:49 . 2008-05-13 11:30 54368 ----a-w- c:\programme\mozilla firefox\components\jsd3250.dll
2009-08-06 07:49 . 2008-05-13 11:30 34944 ----a-w- c:\programme\mozilla firefox\components\myspell.dll
2009-08-06 07:49 . 2008-05-13 11:30 46712 ----a-w- c:\programme\mozilla firefox\components\spellchk.dll
2009-08-06 07:49 . 2008-05-13 11:30 172136 ----a-w- c:\programme\mozilla firefox\components\xpinstal.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\opera\program\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SansaDispatch"="c:\dokumente und einstellungen\***\Anwendungsdaten\SanDisk\Sansa Updater\SansaDispatch.exe" [2009-03-27 79872]
"VoipBuster"="c:\programme\VoipBuster.com\VoipBuster\VoipBuster.exe" [2009-08-09 9075504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-07 761946]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"LogitechCameraService(E)"="c:\windows\system32\ElkCtrl.exe" [2004-11-01 262144]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-09-22 53248]
"S3Trayp"="S3trayp.exe" - c:\windows\system32\S3Trayp.exe [2007-12-12 176128]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-11-06 16855552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-12 113664]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
VPN Client.lnk - c:\windows\Installer\{871DF2BE-41D2-4334-AC33-839AF16FC8FE}\Icon3E5562ED7.ico [2008-5-30 6144]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [06.05.2008 10:19 11264]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.08.2009 17:39 108289]
R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [19.02.2008 13:42 714240]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [18.05.2008 11:36 264704]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2009-10-05 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\programme\Spybot - Search & Destroy\SpybotSD.exe [2008-05-07 09:43]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://wiwi.uni-giessen.de/gi_sic/spic/myhome/
mStart Page = hxxp://www.google.de
DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} - hxxps://account.maxdome.de/presentation/script/HWTest.CAB
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\p9xr0h7i.default\
FF - prefs.js: browser.startup.homepage - hxxp://web.de/
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-06 12:47
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SansaDispatch = c:\dokumente und einstellungen\***\Anwendungsdaten\SanDisk\Sansa Updater\SansaDispatch.exe?daterInstall&platform=&is-debug=&rom-version=&part-number=&product-name=&content-class=common_con

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
Zeit der Fertigstellung: 2009-10-06 12:49
ComboFix-quarantined-files.txt 2009-10-06 10:48

Vor Suchlauf: 6 Verzeichnis(se), 74.787.401.728 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 74.803.142.656 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

160 --- E O F --- 2009-09-09 15:38

Alt 09.10.2009, 18:03   #10
Muchote
 
virtumonde.dll Trojaner oder Fehlalarm? - Standard

virtumonde.dll Trojaner oder Fehlalarm?



Hallo!

Konntest Du in den Logfiles irgendwas negatives entdecken?

Ich habe in einem Spybotforum folgenden Thread gefunden, in welchem das Ganze wohl in der Tat als Fehlalarm wegen einer alten Version gedeutet wird.

--> http://forums.spybot.info/showthread.php?t=46096

Werde jetzt mal die neuste Version runterladen und dann nochmal scannen und sehen, ob das immer noch angezeigt wird.

Komischerweise ist der Rechner jedoch in den letzten Tagen wieder schneller geworden.

Würde mich über Rückmeldung freuen, ob in den logs etw. negatives enteckt werden konnte.

Vielen Dank und viele Grüße

Edit: nach der Installation der neusten Version erscheint in der Tat keine Meldung mehr.
Ist das nun wirklich die Entwarnung?
Immerhin war ja der Rechner bis vor kurzem extrem lahm...

Geändert von Muchote (09.10.2009 um 18:47 Uhr)

Antwort

Themen zu virtumonde.dll Trojaner oder Fehlalarm?
adobe, antivir, antivir guard, bho, browser, desktop, down, download, einstellungen, explorer, f-secure, fehlalarm, hkus\s-1-5-18, infiziert, internet, internet explorer, langsam, nmindexstoresvr.exe, object, opera, pdf, plug-in, programme, senden, software, stick, trojaner, virtumonde.dll, windows, windows xp




Ähnliche Themen: virtumonde.dll Trojaner oder Fehlalarm?


  1. Trojanerfund bei Download von Avira Antivir - Fehlalarm oder war dort wirklich ein Trojaner aktiv?
    Plagegeister aller Art und deren Bekämpfung - 18.05.2015 (17)
  2. Trojaner oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2015 (3)
  3. AVG Meldet Trojaner BackDoor Generic_c. Fehlalarm oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 05.01.2015 (3)
  4. Avira Scan, Trojaner TR/Crypt.ZPACK.50636 gefunden, Fehlalarm oder echter Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 04.12.2014 (17)
  5. TR/Crypt.ZPACK.Gen2 - Avira Fehlalarm oder gefährlicher Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 08.12.2013 (5)
  6. Whistler A im MBR, oder Fehlalarm von NOD 32 ?
    Plagegeister aller Art und deren Bekämpfung - 28.03.2012 (1)
  7. Malware oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 17.03.2012 (25)
  8. BKA-Trojaner oder nur Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (0)
  9. Avira Virusmeldung - nur ein Fehlalarm? Oder tatsächlich ein Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2011 (58)
  10. Trojaner E-Mail oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 27.03.2011 (5)
  11. Avira zeigt Trojaner tr crypt.xpack.gen an?Gefährlich oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 16.09.2009 (8)
  12. Trojaner oder Fehlalarm? :O
    Log-Analyse und Auswertung - 11.02.2009 (2)
  13. Hilfe!! Monder.Acia oder Vundo 129024 oder Virtumonde auf dem PC gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.12.2008 (0)
  14. Fehlalarm oder virus
    Plagegeister aller Art und deren Bekämpfung - 27.10.2008 (8)
  15. Trojaner oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 05.03.2008 (1)
  16. Problem oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 15.09.2007 (8)
  17. Trojaner, oder Fehlalarm ?
    Plagegeister aller Art und deren Bekämpfung - 31.05.2005 (4)

Zum Thema virtumonde.dll Trojaner oder Fehlalarm? - Guten Tag allerseits! Spybot Search&Destroy findet und "entfernt" bei mir seit einigen Tagen ständig "virtumonde.dll" Als ich irgendwann mal gegoogelt habe, stellte ich mit erschrecken fest, dass dies ein Trojaner - virtumonde.dll Trojaner oder Fehlalarm?...
Archiv
Du betrachtest: virtumonde.dll Trojaner oder Fehlalarm? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.