| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Virtumonde.....ist nicht wegzubekommen *seufz*Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.09.2007, 23:06
| #1 |
| |  Virtumonde.....ist nicht wegzubekommen *seufz* Hi, ich habe ein riesen Problem.....ich versuche seit Tagen Virtumonde wegzubekommen...habs mit Combofix, Vundofix, spybot, usw probiert...weiss shcon gar nicht mehr was ich alles probiert habe *seufz* Wer kann mir helfen? Wie kann mir geholfen werden? Kann mir geholfen werden? Was muss ich euch liefern für ne Analyse? Bekomme hier echt nen "anfall" bald.... so doof kann ich doch nicht sein  Danke im Voraus.... |
|
03.09.2007, 23:12
| #2 |
  |  Virtumonde.....ist nicht wegzubekommen *seufz* Erstelle bitte hier im thread ein sog. Hijackthis, Anleitung ist hier enthalten:
__________________http://www.trojaner-board.de/17493-a...ijackthis.html Diesen Ordner bitte nicht im Temp-Verzeichniss "liegen" lassen sondern in einem eigenen Ordner starten. Dazu bitte die Hijackthis.exe in z.B. HJT.com umbenennen. |
|
03.09.2007, 23:26
| #3 |
| | Virtumonde.....ist nicht wegzubekommen *seufz* Logfile of HijackThis v1.99.1
__________________Scan saved at 00:24:56, on 04.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\AntiVir PersonalEdition Premium\sched.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe c:\APPS\HIDSERVICE\HIDSERVICE.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe c:\APPS\Powercinema\Kernel\TV\CLSched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Miranda IM\miranda32.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Dokumente und Einstellungen\René\Desktop\Programme\Systemsicherheit\stinger.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\René\Desktop\downloads\hijackthis_199\hjt.com O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKLM\..\RunOnce: [SpybotDeletingA7203] command /c del "C:\WINDOWS\system32\MSMT4232.DLL_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC8655] cmd /c del "C:\WINDOWS\system32\MSMT4232.DLL_tobedeleted" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [SpybotDeletingB5498] command /c del "C:\WINDOWS\system32\MSMT4232.DLL_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingD1806] cmd /c del "C:\WINDOWS\system32\MSMT4232.DLL_tobedeleted" O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Startup: Post-it® Software Notes Lite.lnk = C:\Programme\3M\PSNLite\PsnLite.exe O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programme\3M\PSNLite\PsnLite.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\xampp\filezillaftp\filezillaserver.exe (file missing) O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe (file missing) naja HijackThis hab ich ja  hoffe nur alles richtig gemacht zu haben..... |
|
03.09.2007, 23:41
| #4 |
| | Virtumonde.....ist nicht wegzubekommen *seufz* Mmhh... C:\WINDOWS\system32\MSMT4232.DLL_tobedeleted ist mir unbekannt. Lass daher diese Datei bei Virustotal oder alternativ bei Jotti untersuchen: VirusTotal - Free Online Virus and Malware Scan Online malware scan Datei ins weisse Fensterchen kopieren, "send/submit" anklicken, das gesamte Ergebnis posten! Auch wenn nichts gefunden wurde. Es ist gut möglich, das diese beiden scanner nichts finden. Gebe bitte daher diesen Pfad an Spybot zwecks Untersuchung weiter: detection@spybot.info. Gebe den Dateinamen als Info ein und diesen thread als Verlinkung damit diese Wissen worum es überhaupt geht. Aus Deinem Log ist im ersten Blick kein Vundo zu erkennen. |
|
03.09.2007, 23:55
| #5 |
| | Virtumonde.....ist nicht wegzubekommen *seufz* Aaaaalso: Naja bisher hat auch nur der Spybot den krams gefunden....alle anderen Programme haben "versagt".....aber....: VIRUS TOTAL: Antivirus Version Last Update Result AhnLab-V3 2007.9.1.0 2007.09.03 - AntiVir 7.4.1.66 2007.09.03 - Authentium 4.93.8 2007.09.02 - Avast 4.7.1029.0 2007.09.03 - AVG 7.5.0.485 2007.09.03 - BitDefender 7.2 2007.09.04 - CAT-QuickHeal 9.00 2007.09.03 - ClamAV 0.91.2 2007.09.03 - DrWeb 4.33 2007.09.03 - eSafe 7.0.15.0 2007.09.03 - eTrust-Vet 31.1.5105 2007.09.03 - Ewido 4.0 2007.09.03 - FileAdvisor 1 2007.09.04 - Fortinet 3.11.0.0 2007.09.03 - F-Prot 4.3.2.48 2007.09.02 - F-Secure 6.70.13030.0 2007.09.03 - Ikarus T3.1.1.12 2007.09.03 - Kaspersky 4.0.2.24 2007.09.04 - McAfee 5111 2007.09.03 - Microsoft 1.2803 2007.09.04 - NOD32v2 2501 2007.09.03 - Norman 5.80.02 2007.09.03 - Panda 9.0.0.4 2007.09.03 - Prevx1 V2 2007.09.04 - Rising 19.39.02.00 2007.09.03 - Sophos 4.21.0 2007.09.03 - Sunbelt 2.2.907.0 2007.08.31 - Symantec 10 2007.09.04 - TheHacker 6.1.9.176 2007.09.04 - VBA32 3.12.2.3 2007.09.03 - VirusBuster 4.3.26:9 2007.09.03 - Webwasher-Gateway 6.0.1 2007.09.03 - Additional information File size: 114816 bytes MD5: 66799f97fec8b3b1f8b5d0dd8653e321 SHA1: 6738cb4136c43885ffd7bb7e5218632f80fcd9fc JOTTI: Service load: 0% 100% File: MSMT4232.DLL Status: OK MD5: 66799f97fec8b3b1f8b5d0dd8653e321 Packers detected: - Bit9 reports: File not found Scanner results Scan taken on 03 Sep 2007 22:51:04 (GMT) A-Squared Found nothing AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing CPsecure Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing F-Secure Anti-Virus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing Panda Antivirus Found nothing Rising Antivirus Found nothing Sophos Antivirus Found nothing VirusBuster Found nothing VBA32 Found nothing |
|
04.09.2007, 00:10
| #6 |
| | Virtumonde.....ist nicht wegzubekommen *seufz* Versagen kann man so etwas nicht nennen, die Unternehmen wollen Ihr Produkt an den Mann bringen. Aber so richtig was gefunden hat irgendwie kein Prog etwas. Also, der Vorschlag Spybot diese Meldung untersuchen zu lassen geht schon in die richtige Richtung, solltest schon ein feedback von denen bekommen. Wenn Du noch nen fetten scan machen möchtest und etwas Zeit mitbringst, empfehle ich dir einen on demand scan nach dieser Anleitung: http://www.trojaner-board.de/38066-e...ightymarc.html Das Ergebnis postest Du bitte mit der sog. "find-bat", in der Anleitung enthalten. Bring Dir aber Zeit mit, kann bis zu zwei Stunden dauern. Da schauen wir mal ob Du wirklich Vundo druff hast, denn ehrlich gesagt kann ich mir das nicht vorstellen. Dazu müsste Dein Log anders aussehen. |
|
04.09.2007, 00:12
| #7 |
| | Virtumonde.....ist nicht wegzubekommen *seufz* Nur zwei Stunden *freu* der Stinger rennt seit 2,5h und ist noch nicht durch und vom antivir red ich erst gar nicht aber ich mach morgen mal nen scan....die mail an spybot ist grad schon zurückgekommen....muss mich wohl vertippt ham *grml* auf ein neues....Dankeschonmal und morgen gibts den Rest vom Schützenfest |
|
| Themen zu Virtumonde.....ist nicht wegzubekommen *seufz* |
| analyse, combofix, geholfen, helfen, nicht mehr, riesen, seufz, spybot, tagen, versuche, virtumonde, vundofix |
Linear-Darstellung
