EDIT: Hab mich verschrieben, ich meinte "Virtumundo"

Hiho Leute!

Ich hab seit etwa 3 tagen nen Virus/Trojaner drauf, der sich "Vermundo" nennt und die datei "pmkhf.dll" verwendet.
Das drecksding lässt sich nicht mit antivir / adaware / Spybot löschen, und es lädt mir enorm viele neue Viren drauf (die ich allerdings NOCH alle löschen kann)...

Mein Spybot-Guard berichtet auch regelmäßig von einer kryptischen Datei der "ApacheInc", die sich in meine registry schreiben will, blocke ich natürlich immer.

Ich wollte die hier im Forum stehende Lösung von Expert benutzen, mithilfe diverser Fix-Programme im abgesicherten modus, aber da lässt sich der explorer nicht starten...

Zitat:

Mein HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:03:45, on 09.06.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
(Ich surfe mit Opera)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Steganos Secure FileSharing 6\sfs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
C:\WINDOWS\System32\SLEE503.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Opera\Opera.exe
D:\Programme\Miranda SE 1.65\miranda32.exe
E:\Datensicherung\Tools & Installationsdateien\progies für pc\HijackThis.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SFS6] "C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Configuration Utility.lnk = C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
O8 - Extra context menu item: Download by FlashDownloader - C:\Programme\FlashDownloader\IntQd.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE503.exe

Ich weiss nicht weiter, und es nervt einfach nur tierisch, besonders weil ich erst vor etwa einem Monat das System neu draufgezogen habe -.-

Hoffe, dass jemand mir hier helfen kann.

Die logs von Antivir stell ich später noch on, das Scannen dauert bei 560 GB n bissl länger...
Anm: der abgesicherte modus geht NICHT!

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 19:03:45, on 09.06.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
(Ich surfe mit Opera)

was funktioniert noch nicht ?

Zitat:

Zitat von Speedyweb

was funktioniert noch nicht ?

Mein browser geht, mein normaler winXP-betrieb auch...
Nur krieg ich dauernd anti-vir-warnung, dass diverse viren auf meinem pc gefunden wurden (immer einer nach dem anderen)... Mittlerweile so ca 30 unterschiedliche.

Nur der Abgesicherte Modus von Windows funktioniert nicht mehr, der explorer stürzt dauernd ab, und lässt sich nicht wieder aufrufen...

das tool mehrmals laufen lassen, aber jedes erstellte logfile posten !

• download von VundoFix.exe auf den desktop.
• starte nun das programm mit einem doppelklick auf die vundofix.exe
• starte den scan nach vundo (dauert ein wenig).
• wähle im nächsten schritt [remove vundo].
• werden dateien gefunden, sollst du die frage zur entfernung mit [ja] beantworten.
• wie bei anderen cleanern auch, verschwindet während der reinigung die desktopoberfläche
• nach der bereinigung muss der rechner neu gestartet werden, beantworte die frage mit ok
• nach dem neustart, navigierst du zur datei C:\vundofix.txt, poste den inhalt
• erstelle ein neues hjt-logfile und poste es.

• download von filelist.zip auf deinen desktop.
• entpacke hier die zip datei
• starte nun durch einen doppelklick auf die datei filelist.bat das stapelverarbeitungsprogramm
• dein bevorzugtes textverarbeitungsprogramm wird sich öffnen
• markiere den inhalt und füge in hier im forum in deinem beitrag ein.
• wichtig: logfile im tag [code] posten
• formatiere nun deinen beitrag vor dem speichern, in dem du alle texte, die ein älteres datum besitzen, als die letzten 30 tage, aus der liste löscht.
• das sind alle verzeichnisse, die mit dieser filelist.bat ausgelesen werden.
  1. Verzeichnis von C:\
  2. Verzeichnis von C:\WINDOWS
  3. Verzeichnis von C:\WINDOWS\system
  4. Verzeichnis von C:\WINDOWS\system32 --> von hier bitte alles posten
  5. Verzeichnis von C:\WINDOWS\Prefetch
  6. Verzeichnis von C:\WINDOWS\tasks
  7. Verzeichnis von C:\WINDOWS\Temp
  8. Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Ich habs heute morgen selbst hinbekommen, hab mithilfe von vundofix, HJT und spybot den Trojaner runtergekriegt... Trotzdem danke für die Hilfe.

wie hast du das hinbekommen? hab auch son dll der vundo ist und ich nicht löschen kann. nicht im normalen und nicht im abgesicherten, hab schon versucht das teil im abgesicherten modus und bei deaktivierter systemwiederherstellung mit vundofix und killbox zu killen aber nix ging echt garnix

Also, ich hab mir notiert, wie die trojaner-datei heisst (bei mir wars C:\WINDOWS\System32\pmkhf.dll), und hab dann diese datei bei dem VundoFix angegeben. Die 2. Datei hiess C:\WINDOWS\System32\pmnnm.dll.

VundoFix hat diese files dann freigelegt, und ich konnte mit HJT die dateien löschen. Dann noch zwischendurch n paar neustarts, und dann war er weg.

hab heute auch alle gelöscht bekommen aber komischerweise kommen sie nach ner bestimmten zeit als andere dll wieder

Ich hab noch ne gaya.dll gekriegt, die aber anschließend genauso wie die pmkhf.dll gelöscht... seitdem hab ich nix mehr aufm pc...