Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Virtumonde (von Ad-Aware gefunden)

Virtumonde (von Ad-Aware gefunden)


Log-Analyse und Auswertung: Virtumonde (von Ad-Aware gefunden)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 12.09.2007, 14:24   #1
phantomvirus
 
Virtumonde (von Ad-Aware gefunden) - Standard

Virtumonde (von Ad-Aware gefunden)


Mein Ad-Aware hat heute einige Viren gefunden und teilweise gelöscht. Nur 'Virtumonde' hat es nicht gelöscht bekommen, da hab ich mir die "Vundofix.exe" runtergeladen. Nach Start und Scan habe ich alle gefundenen Dateien gelöscht. Bei einem erneuten Scan mit dem Tool werden sie auch nicht mehr angezeigt, angeblich sei alles 'clean'. Ein neuer Scan mit Ad-Aware zeigte mir aber, dass in der Registry noch Teile von dem Virus übriggeblieben sind.

Ich weiß nicht, ob ein HiJack Log-File hier irgendwas bringt, aber vielleicht kann man dort sehen, ob dort noch irgendetwas Verdächtiges ist. Wär nett, wenn sich das mal jemand anschaut, danke!

Logfile:

Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 15:14:40, on 12.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Programme\MagicRotation\MagicPvt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\SEC\MT4.0\GammaTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\SEC\MT4.0\MagicTune.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Diletant\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {C63396BE-26C7-4CD6-9B18-0D71787DDDC0} - C:\WINDOWS\system32\awtqp.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MagicRotation] C:\Programme\MagicRotation\MagicPvt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: MagicTune 4.0.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169732200527
O17 - HKLM\System\CCS\Services\Tcpip\..\{0432CA95-B821-4C8F-8790-9F9549E52026}: NameServer = 217.237.149.142 217.237.150.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{0432CA95-B821-4C8F-8790-9F9549E52026}: NameServer = 217.237.149.142 217.237.150.205
O17 - HKLM\System\CS2\Services\Tcpip\..\{0432CA95-B821-4C8F-8790-9F9549E52026}: NameServer = 217.237.149.142 217.237.150.205
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sansa Updater Service (SansaService) - Unknown owner - C:\Programme\SanDisk\Sansa Updater\SansaSvr.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Alt 12.09.2007, 14:27   #2
Sunny
Administrator
> Competence Manager
 
Virtumonde (von Ad-Aware gefunden) - Standard

Virtumonde (von Ad-Aware gefunden)





Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:


Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)




Zitat:

awtqp.dll

Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.



MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)


Gruß
Sunny
__________________

__________________
Alt 12.09.2007, 15:37   #3
phantomvirus
 
Virtumonde (von Ad-Aware gefunden) - Standard

Virtumonde (von Ad-Aware gefunden)


Okay, habe die Anleitungen befolgt. Das sind die Ergebnisse der Scans:

RegSearch:

Code:
ATTFilter
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 12.09.2007 16:34:48 for strings:
;  'awtqp.dll'
; Strings excluded from search:
;  (None)
; Search in: 
; Registry Keys  Registry Values  Registry Data  
; HKEY_LOCAL_MACHINE  HKEY_USERS  


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C63396BE-26C7-4CD6-9B18-0D71787DDDC0}\InprocServer32]
@="C:\\WINDOWS\\system32\\awtqp.dll"

; End Of The Log...
MWAV:
Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL 
    
eScan Version: 9.4.2 
Sprache: German 
C:\DOKUME~1\Benutzername\LOKALE~1\Temp\MWAV.LOG
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 16:29:34,26 
Batchende: 16:29:36,56
__________________
Alt 12.09.2007, 16:41   #4
Sunny
Administrator
> Competence Manager
 
Virtumonde (von Ad-Aware gefunden) - Standard

Virtumonde (von Ad-Aware gefunden)


Na das sieht doch schon mal ganz gut aus

Mach nun noch folgendes:

Öffne die Registrierung:

Zitat:
Start -> Ausführen -> eintippen: regedit [ENTER]
Suche nun diesen Schlüssel:

Zitat:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C63396BE-26C7-4CD6-9B18-0D71787DDDC0}\InprocServer32]
@="C:\\WINDOWS\\system32\\awtqp.dll
und lösche diesen, danach sollte auch Ad-Aware nichts mehr finden.
Der eScan war auch negativ, demnach sollte Virtumonde von deinem System vollständig entfernt sein.


Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 12.09.2007, 16:52   #5
phantomvirus
 
Virtumonde (von Ad-Aware gefunden) - Standard

Virtumonde (von Ad-Aware gefunden)


Das ist ja schon mal super, wenn der Virus weg ist!
Den Schlüssel hab ich gefunden, es sind aber insgesamt 2 Schlüssel im Ordner "InprocServer32":

Name: (Standard)
Typ: REG_SZ
Wert: C:\WINDOWS\system32\awtqp.dll

Name: ThreadingModel
Typ: REG_SZ
Wert: Both

Soll der ganze Ordner (InprocServer32) gelöscht werden ODER nur die beiden Schlüssel ODER nur der obere Schlüssel?


Alt 12.09.2007, 17:01   #6
Sunny
Administrator
> Competence Manager
 
Virtumonde (von Ad-Aware gefunden) - Standard

Virtumonde (von Ad-Aware gefunden)


Zitat:
Zitat von phantomvirus Beitrag anzeigen
Soll der ganze Ordner (InprocServer32) gelöscht werden ODER nur die beiden Schlüssel ODER nur der obere Schlüssel?
Lösch mal bitte nur den ersten Schlüssel, also den mit der Dateiangabe!

Scanne danach nochmal mit Ad-Aware und berichte ob noch was zu beanstanden ist.

Sunny
__________________
--> Virtumonde (von Ad-Aware gefunden)

Antwort

Themen zu Virtumonde (von Ad-Aware gefunden)
ad-aware, adobe, bho, desktop, dll, einstellungen, explorer, firefox, hijack, hijackthis, internet, internet explorer, konvertieren, log-file, mozilla, mozilla firefox, nach start, nvidia, pdf-datei, registry, rundll, scan, software, system, tuneup utilities, viren, virtumonde, virus, windows, windows xp


« wie kann ich TR/Forten.Java.2' den hier löschen ? | Bitte um erneuten Check einer Logfile! »


Ähnliche Themen: Virtumonde (von Ad-Aware gefunden)


  1. Bitdefender hat Variant.Aware.Graftor.159320 gefunden
    Plagegeister aller Art und deren Bekämpfung - 24.11.2014 (21)
  2. Virtumonde wird dursucht aber nichts gefunden
    Plagegeister aller Art und deren Bekämpfung - 04.10.2012 (1)
  3. Virtumonde.atr von Spybot S&D gefunden und kann es nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 09.06.2011 (23)
  4. Ad-Aware hat Win32TrojanSpy gefunden [Logfile-Auswertung]
    Log-Analyse und Auswertung - 04.02.2009 (0)
  5. Virtumonde/Virtumonde.prx nicht entfernbar !!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2009 (29)
  6. Smitfraud C, virtumonde, virtumonde generic
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (11)
  7. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  8. Hilfe!! Monder.Acia oder Vundo 129024 oder Virtumonde auf dem PC gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.12.2008 (0)
  9. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  10. Spybot meldet Smitfraud-C. Virtumonde & Virtumonde.generic Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2008 (1)
  11. Smitfraud-C. & Virtumonde & Virtumonde.generic
    Log-Analyse und Auswertung - 01.12.2008 (7)
  12. Smitfraud-C./Virtumonde/Virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 25.11.2008 (22)
  13. Ad-Aware meldet: Virtumonde ( Dataminer )
    Log-Analyse und Auswertung - 23.10.2008 (7)
  14. Virtumonde -- HJT, Spybot und Ad-Aware versagen.
    Log-Analyse und Auswertung - 11.08.2008 (19)
  15. Malware "DyFuCA" ;Win32.Trojan.Downloader mit Ad-Aware SE Personal gefunden
    Log-Analyse und Auswertung - 11.08.2006 (13)
  16. Ad-Aware
    Antiviren-, Firewall- und andere Schutzprogramme - 06.04.2006 (10)
  17. Win32.Trojan.Agent.cs von Ad-Aware gefunden. Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 15.07.2005 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Virtumonde (von Ad-Aware gefunden) - Mein Ad-Aware hat heute einige Viren gefunden und teilweise gelöscht. Nur 'Virtumonde' hat es nicht gelöscht bekommen, da hab ich mir die "Vundofix.exe" runtergeladen. Nach Start und Scan habe ich - Virtumonde (von Ad-Aware gefunden)...
Archiv
Du betrachtest: Virtumonde (von Ad-Aware gefunden) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131