|
Log-Analyse und Auswertung: Ad-Aware meldet: Virtumonde ( Dataminer )Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.06.2006, 18:42 | #1 |
| Ad-Aware meldet: Virtumonde ( Dataminer ) wie im titel beschrieben meldet ad-aware dass es den dataminer virtumonde in der registry gefunden hat. zusätzlich habe ich seit einigen tagen meldungen von antivir xp über mehrere gefundene viren ( ich habe mir den namen nicht gemerkt, da mich die meldungen langsam nerven, da das löschen nichts gebracht hat ) leider gaben mir weder der task manager, noch der autostart ( in msconfig ) weitere informationen über gefährliche programme / dlls. auch löschen des reg-eintrages hat nichts gebracht, da er nach jedem neustart wieder vorhanden war. dieser security task manager ( http://www.neuber.com/taskmanager/deutsch/index.html ) hat mir nun zusätzlich gemeldet, dass die datei rqrrsqr.dll gefährlich wäre, allerdings hat mir die google suche nicht viel geholfen. ich habe nun ein highjackthis log erstellen lassen: Logfile of HijackThis v1.99.1 Scan saved at 19:26:32, on 28.6.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe F:\PROGRA~1\Aston\aston.exe F:\PROGRA~1\Aston\XP\internat.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINNT\system32\RunDLL32.exe F:\Programme\Trillian\trillian.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\WebServer\xampp\apache\bin\apache.exe C:\WINNT\System32\drivers\CDAC11BA.EXE C:\WINNT\system32\nvsvc32.exe D:\WebServer\xampp\apache\bin\apache.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\wuauclt.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Opera\Opera.exe C:\Programme\Winamp\winamp.exe C:\WINNT\explorer.exe F:\Programme\HighJackThis\HijackThis.exe F2 - REG:system.ini: Shell=F:\Programme\Aston\Aston.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINNT\system32\rqrrsqr.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - Startup: Trillian.lnk = F:\Programme\Trillian\trillian.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {00000000-0000-0000-0000-100000000003} - h**p://code.trasferimento.biz/l/829aaade270af4fedce7c937fba27831_35.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143128250125 O17 - HKLM\System\CCS\Services\Tcpip\..\{7DB65A5E-BE70-4A61-A88A-3419303B9FE2}: NameServer = 194.25.2.129 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O20 - Winlogon Notify: rqrrsqr - C:\WINNT\SYSTEM32\rqrrsqr.dll O20 - Winlogon Notify: winjyp32 - C:\WINNT\SYSTEM32\winjyp32.dll O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2 - Unknown owner - D:\WebServer\xampp\apache\bin\apache.exe" -k runservice (file missing) O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\System32\drivers\CDAC11BA.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Prot16w2por - Protection Technology - (no file) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe ich habe das ganze auch schon online auswerten lassen: http://www.hijackthis.de/logfiles/bd...7fd016f0f.html darin wird auch die oben genannte dll ( neben anderen ) als böse erkannt. nun ist die frage wie kann ich diese dll entfernen lassen? ich möchte ungern ohne fachmännische meinung irgendwelche dateien löschen, mir ist nicht danach windows neuzuinstallieren ich bedanke mich schon im vorraus für eure hilfe PS: ich benutze wie man dem log entziehen kann die aston-shell. es ist gewollt dass diese nicht auf c installiert ist, also kann man diese prozesse: internat.exe, aston.exe ignorieren |
28.06.2006, 18:44 | #2 |
entlassen | Ad-Aware meldet: Virtumonde ( Dataminer ) wo ist der rest (kopf) des hjt log-file?
__________________GUA |
28.06.2006, 18:48 | #3 |
| Ad-Aware meldet: Virtumonde ( Dataminer ) tut mir leid, hab ich nicht gesehen dass der fehlte, habe beitrag editiert ( auch die links entfernt )
__________________ |
28.06.2006, 19:13 | #4 |
| Ad-Aware meldet: Virtumonde ( Dataminer ) Guten Abend, lasse doch erstmal die Datein, die Dir als Böse gemeldet werden, bei Virustotal und bei Jotti auswerten und Poste das Ergebnis! Gruß Mellosun |
28.06.2006, 21:00 | #5 |
| Ad-Aware meldet: Virtumonde ( Dataminer ) also VirusTotal ergab diese Meldung: Complete scanning result of "rqrrsqr.dll", received in VirusTotal at 06.28.2006, 21:40:01 (CET). Antivirus Version Update Result AntiVir 6.35.0.19 06.28.2006 ADSPY/Virtumonde.B Authentium 4.93.8 06.28.2006 no virus found Avast 4.7.844.0 06.28.2006 no virus found AVG 386 06.28.2006 Adware Generic.OWI BitDefender 7.2 06.28.2006 no virus found CAT-QuickHeal 8.00 06.28.2006 no virus found ClamAV devel-20060426 06.28.2006 no virus found DrWeb 4.33 06.27.2006 Trojan.Virtumod eTrust-InoculateIT 23.72.51 06.27.2006 no virus found eTrust-Vet 12.6.2279 06.28.2006 Win32/Vundo Ewido 3.5 06.28.2006 Adware.Virtumonde Fortinet 2.77.0.0 06.28.2006 Adware/Virtumonde F-Prot 3.16f 06.28.2006 no virus found Ikarus 0.2.65.0 06.28.2006 no virus found Kaspersky 4.0.2.24 06.28.2006 not-a-virus:AdWare.Win32.Virtumonde.cd McAfee 4795 06.28.2006 Vundo Microsoft 1.1481 06.28.2006 no virus found NOD32v2 1.1631 06.28.2006 no virus found Norman 5.90.21 06.28.2006 no virus found Panda 9.0.0.4 06.28.2006 Spyware/Virtumonde Sophos 4.07.0 06.28.2006 no virus found Symantec 8.0 06.28.2006 no virus found TheHacker 5.9.8.166 06.28.2006 no virus found UNA 1.83 06.28.2006 no virus found VBA32 3.11.0 06.27.2006 no virus found VirusBuster 4.3.7:9 06.28.2006 no virus found Aditional Information File size: 39437 bytes MD5: 02494be3dce8c6c49c34437d606b6bda SHA1: 47e4c7b745e1a4c81fc21e84b7173b069ff86e53 Datei: rqrrsqr.dll Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Adware-Spyware/Virtumonde.B adware gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Generic.OWI gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Virtumod gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Adware/Virtumonde gefunden Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Virtumonde.cd gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 AdWare.Win32.Virtumonde.cd gefunden ich tippe mal darauf dass die datei wirklich böse ist, doch was muss ich genau machen um sie zu entfernen? ich werde mal per google suchen, aber vielleicht könnt ihr mir hier auch helfen |
28.06.2006, 22:05 | #6 | ||
| Ad-Aware meldet: Virtumonde ( Dataminer ) Hallo SIS-Shadowman, Zitat:
Alternativ kannst du auch die Bordsuche verwenden... In beiden Fällen wirst du fündig werden...:aplaus: Ist aber auch ein klasse Suchwort dieses Zitat:
Irrlicht |
09.06.2007, 22:48 | #7 |
| Ad-Aware meldet: Virtumonde ( Dataminer ) eraseme.exe |
23.10.2008, 09:39 | #8 |
| Ad-Aware meldet: Virtumonde ( Dataminer ) Grüßt euch, auf die gefahr hin, dass ich hier wiederholte fragen stelle. was genau bewirkt Virtumonde? Die boardsuche habe ichs chon gefunden und google hilft auch nicht. Dort erfahre ich nur das ihn jemand gefunden hat und wie man ihn entfernt, aber nicht was er genau verursacht oder wie er bevorzugt auf den computer gelangt. MfG |
Themen zu Ad-Aware meldet: Virtumonde ( Dataminer ) |
ad-aware, antivir, auswerten, avira, bho, c.exe, drivers, entfernen, frage, google, highjackthis, hijack, hijackthis, ignorieren, internet, internet explorer, langsam, mehrere, monitor, prozesse, registry, rundll, security, system, viren, virtumonde, windows, windows xp |