| |
| |||||||
Log-Analyse und Auswertung: virtumonde lässt sich nicht entfernenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
12.09.2007, 14:30
| #1 |
 |  virtumonde lässt sich nicht entfernen Hallo liebe Forengemeinde  Bei der Installation einer neuen Firewall hatte ich ungeschützten Internetverkehr.  Es kam, wie es kommen musste, und ich habe mir einige Sachen eingefangen, wobei sich nur "virtumonde" als äußerst hartnäckig herausstellt.  Folgendes habe ich bereits im abgesicherten Modus gemacht: -avg-antiPsyware -> hat einen Trojaner gefunden und entfernt - Ad-Aware -> Findet nichts - Spybot search&destroy -> Meldet immer noch einen Registry-Eintrag von "virtumonde". Wenn ich diesen mit dem Programm entferne und dann nochmals scanne, ist er aber wieder da..... Ich poste untenstehend mal mein Hijack-File (durchgeführt im normalen (also nicht abgesicherten) Modus)). Es wäre super, wenn ihr das mal ansehen könntet und mir Tipps geben würdet. Für Eure Hinweise bedanke ich mich bereits jetzt! Schöne Grüße Joggele Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:08:47, on 12.09.2003 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\SecCenter\scprot4.exe C:\Programme\Symantec\LiveUpdate\ALuNotify.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe C:\Programme\Vidalia Bundle\Tor\tor.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file) O2 - BHO: (no name) - {64B94229-7967-860A-A0C2-034C02BA876B} - C:\Programme\Rigwhycd\tlpjeumr.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file) O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84" O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [odmtmtmn] rundll32.exe "C:\Programme\odmtmtmn\ydmfursh.dll",Init O4 - HKLM\..\Run: [cfoxexap] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cfoxexap.dll" O4 - HKLM\..\Run: [SC2] C:\Programme\SecCenter\scprot4.exe O4 - HKLM\..\Run: [ALUAlert] C:\Programme\Symantec\LiveUpdate\ALuNotify.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155982134483 O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll O20 - Winlogon Notify: winmxw32 - C:\WINDOWS\SYSTEM32\winmxw32.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing) O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe -- End of file - 9131 bytes |
|
12.09.2007, 14:32
| #2 | |
| Administrator > Competence Manager  | virtumonde lässt sich nicht entfernen Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab: Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) Gruß Sunny
__________________ |
|
12.09.2007, 16:52
| #3 |
| | virtumonde lässt sich nicht entfernen Hallo,
__________________vielen Dank für das erste Feedback Die Ergebnisse der Virustotal-Scans poste ich dann mal im Anschluss. Der eScan folgt in Kürze... Schöne Grüße Jogele ******************************************************************************************** Datei winmxw32.dll empfangen 2007.09.12 17:20:41 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 14/32 (43.75%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 43 und 62 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.12 - AntiVir 7.6.0.10 2007.09.12 TR/Crypt.PEC2X.Gen Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.12 - AVG 7.5.0.485 2007.09.12 - BitDefender 7.2 2007.09.12 - CAT-QuickHeal 9.00 2007.09.12 - ClamAV 0.91.2 2007.09.12 - DrWeb 4.33 2007.09.12 - eSafe 7.0.15.0 2007.09.12 Suspicious Trojan/Worm eTrust-Vet 31.1.5128 2007.09.12 - Ewido 4.0 2007.09.12 - FileAdvisor 1 2007.09.12 - Fortinet 3.11.0.0 2007.09.12 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.12 Trojan.Win32.Dialer.qn Ikarus T3.1.1.12 2007.09.12 Trojan.Win32.Agent.qt Kaspersky 4.0.2.24 2007.09.12 Trojan.Win32.Dialer.qn McAfee 5117 2007.09.11 BackDoor-CVT Microsoft 1.2803 2007.09.12 - NOD32v2 2525 2007.09.12 Win32/Agent.QT Norman 5.80.02 2007.09.12 W32/Dialer.BOAZ Panda 9.0.0.4 2007.09.12 Suspicious file Prevx1 V2 2007.09.12 Trojan.Vundo Rising 19.40.22.00 2007.09.12 - Sophos 4.21.0 2007.09.12 Troj/Nebule-Gen Sunbelt 2.2.907.0 2007.09.12 VIPRE.Suspicious Symantec 10 2007.09.12 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.12 - VirusBuster 4.3.26:9 2007.09.12 Dialer.DialXS.Gen!Pac.2 Webwasher-Gateway 6.0.1 2007.09.12 Trojan.Crypt.PEC2X.Gen weitere Informationen File size: 20480 bytes MD5: d58344aaded057df6c5bbd1b707e2003 SHA1: a03e044fe50e79e81ca56db0a051cd55450af04c packers: PECOMPACT packers: PecBundle, PECompact Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=64A0406E0015140750F000EE807DDA001FDBD8AC ************************************************************* Datei ydmfursh.dll empfangen 2007.09.12 17:26:29 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 3/32 (9.38%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 43 und 62 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.12 - AntiVir 7.6.0.10 2007.09.12 HEUR/Crypted Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.12 - AVG 7.5.0.485 2007.09.12 - BitDefender 7.2 2007.09.12 - CAT-QuickHeal 9.00 2007.09.12 - ClamAV 0.91.2 2007.09.12 - DrWeb 4.33 2007.09.12 - eSafe 7.0.15.0 2007.09.12 - eTrust-Vet 31.1.5128 2007.09.12 - Ewido 4.0 2007.09.12 - FileAdvisor 1 2007.09.12 - Fortinet 3.11.0.0 2007.09.12 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.12 - Ikarus T3.1.1.12 2007.09.12 - Kaspersky 4.0.2.24 2007.09.12 - McAfee 5117 2007.09.11 - Microsoft 1.2803 2007.09.12 - NOD32v2 2525 2007.09.12 - Norman 5.80.02 2007.09.12 - Panda 9.0.0.4 2007.09.12 - Prevx1 V2 2007.09.12 Malware.Gen Rising 19.40.22.00 2007.09.12 - Sophos 4.21.0 2007.09.12 - Sunbelt 2.2.907.0 2007.09.12 - Symantec 10 2007.09.12 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.12 - VirusBuster 4.3.26:9 2007.09.12 - Webwasher-Gateway 6.0.1 2007.09.12 Heuristic.Crypted weitere Informationen File size: 47104 bytes MD5: beee63662b4fd669f6a25b2e4f60e328 SHA1: 5960f2f6b140553a05884f287cafcd71761263f0 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=5785244E008A6D77B889008A0A7A6C0085FCF2AF ******************************************* C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cfoxexap.dll -> Diese gewünschte Datei habe ich nicht auf der Festplatte. ********************************************* Datei scprot4.exe empfangen 2007.09.12 17:36:03 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/32 (3.13%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.12 - AntiVir 7.6.0.10 2007.09.12 - Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.12 - AVG 7.5.0.485 2007.09.12 - BitDefender 7.2 2007.09.12 - CAT-QuickHeal 9.00 2007.09.12 - ClamAV 0.91.2 2007.09.12 - DrWeb 4.33 2007.09.12 - eSafe 7.0.15.0 2007.09.12 - eTrust-Vet 31.1.5128 2007.09.12 - Ewido 4.0 2007.09.12 - FileAdvisor 1 2007.09.12 - Fortinet 3.11.0.0 2007.09.12 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.12 - Ikarus T3.1.1.12 2007.09.12 - Kaspersky 4.0.2.24 2007.09.12 - McAfee 5117 2007.09.11 - Microsoft 1.2803 2007.09.12 - NOD32v2 2525 2007.09.12 - Norman 5.80.02 2007.09.12 - Panda 9.0.0.4 2007.09.12 - Prevx1 V2 2007.09.12 Malware.Gen Rising 19.40.22.00 2007.09.12 - Sophos 4.21.0 2007.09.12 - Sunbelt 2.2.907.0 2007.09.12 - Symantec 10 2007.09.12 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.12 - VirusBuster 4.3.26:9 2007.09.12 - Webwasher-Gateway 6.0.1 2007.09.12 - weitere Informationen File size: 266240 bytes MD5: 907204e26f071580a0c260fcd4bd0fe7 SHA1: e27ba7b5bb650c1df8a53e977164eca5265be084 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=BF29609900B5A9B010D804A8C708670020BF06D4 ************************************************************* Datei tlpjeumr.dll empfangen 2007.09.12 17:45:19 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 3/32 (9.38%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit is zwischen 48 und 68 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.12 - AntiVir 7.6.0.10 2007.09.12 HEUR/Crypted Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.12 - AVG 7.5.0.485 2007.09.12 - BitDefender 7.2 2007.09.12 - CAT-QuickHeal 9.00 2007.09.12 - ClamAV 0.91.2 2007.09.12 - DrWeb 4.33 2007.09.12 - eSafe 7.0.15.0 2007.09.12 - eTrust-Vet 31.1.5128 2007.09.12 - Ewido 4.0 2007.09.12 - FileAdvisor 1 2007.09.12 - Fortinet 3.11.0.0 2007.09.12 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.12 - Ikarus T3.1.1.12 2007.09.12 - Kaspersky 4.0.2.24 2007.09.12 - McAfee 5117 2007.09.11 - Microsoft 1.2803 2007.09.12 - NOD32v2 2525 2007.09.12 - Norman 5.80.02 2007.09.12 - Panda 9.0.0.4 2007.09.12 - Prevx1 V2 2007.09.12 Malware.Gen Rising 19.40.22.00 2007.09.12 - Sophos 4.21.0 2007.09.12 - Sunbelt 2.2.907.0 2007.09.12 - Symantec 10 2007.09.12 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.12 - VirusBuster 4.3.26:9 2007.09.12 - Webwasher-Gateway 6.0.1 2007.09.12 Heuristic.Crypted weitere Informationen File size: 98304 bytes MD5: e27b61523b2a122e77d752e1bae8db1e SHA1: df3c854fc8344d30d146644e9df16c6f902602b6 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=8549DDBA0071D840802F01DAA1F16C00A07C7C79 |
|
12.09.2007, 17:02
| #4 |
| Administrator > Competence Manager | virtumonde lässt sich nicht entfernen Gut gemacht  ... nun noch den eScan durchführen und danach geht es mit der Bereinigung weiter.  Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
12.09.2007, 18:14
| #5 |
| | virtumonde lässt sich nicht entfernen Hallo, ich habe jetzt mehrmals die Vorgehensweise wie für eScan beschrieben befolgt. Leider bekomme ich das nicht gebacken. Ich folge der Version "eScan-Anleitung für User ohne! Router.......... " Ich komme bis zu dem Punkt "7. Escan beenden und in den abgesicherten Modus wechseln. (den Account verwenden, der für das Update von eScan verwendet wurde)". Ich muss dann aber im abgesicherten Modus feststellen, dass sich auf der gesamten HD keine Datei "mwavscan.com" befindet. Ich habe die Vermutung, dass der Fehler bei einem früheren Punkt der Anleitung liegt. Denn bevor der abgebildete Screen mit den "licence agreements" angezeigt wird, werden die Programmdateien extrahiert. Das macht das Installationsprogramm in ein Temporäres Verzeichnis in einem User-Verzeichnis....zwar wird ein "Browse" zum Wechsel des Verzeichnises angezeigt, dieser Button ist aber ausgegraut/deaktivert....kann es vielelicht daran liegen.... Schöne Grüße Joggele |
|
12.09.2007, 19:08
| #6 |
| | virtumonde lässt sich nicht entfernen .....arrrrrgh.....! Ich krieg Plack! Wenn ich nach etwas google und einen Treffer anklicke, dann lande ich auf irgendeiner shice-Site, nur nicht der, die mir unter Google angezeigt wurde......hat mir mal jemand die Adresse des Trojaner-Coders....  |
|
12.09.2007, 19:58
| #7 | |
| Administrator > Competence Manager | virtumonde lässt sich nicht entfernen Da eScan noch nicht will wie es soll, fangen wir mal vorzeitig mit einer Bereinigung an: Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
 4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, dieses mal im normalen Modus, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. außerdem: Suche in folgendem Ordner die Datei -> hosts und öffne sie mit dem Editor. (rechte Maustaste auf die Datei!) c:\windows\system32\drivers\etc\hosts kopiere den gesamten Inhalt der Datei hier mit in den Beitrag. Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
13.09.2007, 10:15
| #8 |
| | virtumonde lässt sich nicht entfernen Hallo  der Scan ist nun beendet, und es wurden auch ein paar "Kleinigkeiten" gefunden.  Nun aber mal der Reihe nach.... 1. Avenger Das hat geklappt. Hier das Protokoll: ************** Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\oj^ycnmx ******************* Script file located at: \??\C:\WINDOWS\fjtmxpat.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Programme\Rigwhycd\tlpjeumr.dll deleted successfully. File C:\WINDOWS\SYSTEM32\winmxw32.dll deleted successfully. File C:\Programme\odmtmtmn\ydmfursh.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. ********************** 2. eScan im normalen Modus (mit Administrator-Account) Wie gesagt, da wurden so ein paar Sachen gefunden. Das Protokoll "MWAV.TXT") beinhaltet alle 156000 gescannten Dateien inkl. Pfad und hat 17 MB. Also das poste ich mal nicht... In Zeile 5 wird allerdings eine Logdatei genannt ("C:\DOKUME~1\Ch\LOKALE~1\Temp\MWAV.LOG"). Diese gibt es aber gar nicht in diesem Verzeichnis.  Liegt das vielelicht daran, dass das ein temporäres Verzeichnis ist und ich zwischenzeitlich den Rechner neu gebootet habe? Soll ich dann eScan die nächsten Stunden nochmal laufen lassen? Alternativ könnte ich auch alle Zeilen mit dem Stichwort "infiziert" aus der 17MB-Datei rauskopieren.....? 3. hosts Wenigstens diese Datei ist sauber....wäre ja auch zu einfach.... ************************************ # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost *********************************************** Schöne Grüße Joggele |
|
13.09.2007, 10:22
| #9 |
| Administrator > Competence Manager | virtumonde lässt sich nicht entfernen Sehr schön Um das eScan Ergebnis zu posten brauchst du die find.bat. Einfach runterladen auf den Desktop und ausführen, danach wird eine Text-Datei erstellt, kopiere den gesamten Inhalt ab und poste diesen hier! Die find.bat gibt es hier -> http://files.trojaner-board.de/find.bat Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
13.09.2007, 10:36
| #10 |
| | virtumonde lässt sich nicht entfernen ...ach so,....find.bat....here we are....hoffe mal, dass der Befund nicht zu schlimm ist....  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.2 Sprache: German Virus-Datenbank Datum: 9/12/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\DOKUME~1\Ch\LOKALE~1\Temp\temp.fr5EB5 infiziert von "Trojan-Downloader.Win32.Alphabet.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\avenger\backup.zip infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde.zip infiziert von "Password-protected-EXE" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Ch\Lokale Einstellungen\Temp\temp.fr5EB5 infiziert von "Trojan-Downloader.Win32.Alphabet.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\4L6FKLEF\cad_111[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\896J41MZ\cha_111[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\setup.exe infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP349\A0096186.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP349\A0096431.com infiziert von "EICAR-Test-File" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP350\A0098204.exe infiziert von "Trojan-Downloader.Win32.Small.eqn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP361\A0103472.exe infiziert von "Trojan-Downloader.Win32.Alphabet.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP361\A0104604.exe infiziert von "Trojan-Downloader.Win32.Small.ddp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP362\A0106499.dll infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP362\A0106508.exe infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\temp\gos294.tmp infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\temp\win286.tmp infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\temp\win290.tmp.exe infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\Appz\Archiv\Norton Internet Security 2006\2006.nis-galedo\WIN9X\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\Appz\Archiv\Norton Internet Security 2006\2006.nis-galedo\WINNT\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\movies\BlindWrite5_setup.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1003\De5\Norton AntiVirus\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1003\De5\Norton AntiVirus\Quarantine\0BF750D1 infiziert von "Trojan-Downloader.Win32.Small.ckj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1003\De5\Norton AntiVirus\Quarantine\0DE83EAE infiziert von "Exploit.HTML.CodeBaseExec" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1003\De5\Norton AntiVirus\Quarantine\4C436ED1 infiziert von "Trojan-Downloader.Win32.IstBar.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\WINNT\msiinst.tmp\msiexec.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\internet.lnk Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\reboot.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swreg.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\pv.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\swreg.exe Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = winmxw32.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winmxw32). Deleting Registry Key winmxw32... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CommonDialogs.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader2.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader3.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader4.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader5.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader6.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MagicAntiSpy.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsActiveDesktop.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSOffice.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SearchFind.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde2.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde3.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde4.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde5.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WindowsActiveDesktop.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Zlockuc.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV07\NAV\Pre Crack 207.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV07\NAV07 KEYGEN CRACK.bat nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV07\Support\YahooToolbar\YTB.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV_2007.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\4PST6RC9\xpprointegratedaugust07dailywarez[1].part1.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP330\A0092233.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2R6B2HAV\Ultraviolet[1].CiF.part4.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2R6B2HAV\Ultraviolet[1].CiF.part6.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4NF7MO59\vonesvcd[1].part04.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6QQDH506\Ultraviolet[1].CiF.part5.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6QQDH506\Ultraviolet[1].CiF.part7.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8X2NQR45\Ultraviolet[1].CiF.part2.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\95148BG1\Ultraviolet[1].CiF.part3.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\95148BG1\Ultraviolet[1].CiF.part8.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5UFW5MB\Ultraviolet[1].CiF.part1.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UUNARIBT\vonesvcd[1].part03.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1034.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1042.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1046.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1107.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1108.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1109.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1110.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1111.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1112.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1113.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1114.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1115.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1116.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1117.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1118.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1119.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1120.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 156396 Gefundene Viren: 39 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 127 Dauer des Scans bisher: 04:17:29 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 11:30:02,56 Batchende: 11:30:46,32 |
|
13.09.2007, 11:52
| #11 |
| Administrator > Competence Manager | virtumonde lässt sich nicht entfernen Da ist noch einiges im System verankert, werde es mir nach Feierabend, also späterer Nachmittag ansehen, das jetzt zwischen "Tür & Angel" zu bereinigen ist nicht mein Ding. Aber ich denke das wir dein System wieder hinkriegen! Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
13.09.2007, 12:22
| #12 | |
| | virtumonde lässt sich nicht entfernenZitat:
 |
|
13.09.2007, 13:00
| #13 | |
| Administrator > Competence Manager | virtumonde lässt sich nicht entfernenZitat:
Kommt Zeit, kommt RAT...
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
13.09.2007, 15:18
| #14 | |
| Administrator > Competence Manager | virtumonde lässt sich nicht entfernenHallo So arbeite nun folgendes Schritt für Schritt ab, sollte etwas nicht klappen einfach noch mal melden: Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, erstelle und poste ein neues Hijacklog! Poste ausserdem den Inhalt der C:\avenger.txt Datei. Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
13.09.2007, 21:53
| #15 |
| | virtumonde lässt sich nicht entfernen Hallo dann will ich mal erzählen, was ich gemacht habe, und wie die einzelnen Schritte so abliefen.... Bleibt noch anzumerken, dass ich mal ein wenig auf meiner HD aufgeräumt habe und einige Sachen gelöscht habe. Deshalb ist der Scan nun auch ein wenig schneller (ca. 4h). An merkbaren Trojaner-Aktivitäten habe ich unten rechts noch ein kleines gelbes Dreieck mit einem "!". Dort erscheint regelmäßig ein Popup mit "Integrity Threats detected!", was mich auffordert, Dateien nachzuladen.... Schöne Grüße Joggele 1. Systemwiederherstellung DEaktiviert 2. Avenger mit dem genannten Input gestartet und reboot in dem normalem Modus. Hier das Log-File: ***************** Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\jupurwsr ******************* Script file located at: \??\C:\WINDOWS\system32\arpaiyn^.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\DOKUME~1\Ch\LOKALE~1\Temp\temp.fr5EB5 deleted successfully. File C:\WINDOWS\temp\gos294.tmp i not found! Deletion of file C:\WINDOWS\temp\gos294.tmp i failed! Could not process line: C:\WINDOWS\temp\gos294.tmp i Status: 0xc0000034 File C:\WINDOWS\temp\win286.tmp not found! Deletion of file C:\WINDOWS\temp\win286.tmp failed! Could not process line: C:\WINDOWS\temp\win286.tmp Status: 0xc0000034 File C:\WINDOWS\temp\win290.tmp.exe deleted successfully. File Folder to delete: not found! Deletion of file Folder to delete: failed! Could not process line: Folder to delete: Status: 0xc0000034 Error: C:\avenger is a folder, not a file! Deletion of file C:\avenger failed! Could not process line: C:\avenger Status: 0xc00000ba Completed script processing. ******************* Finished! Terminate. *************************** 3. Start von eScan und Update durcjgeführt. Dann Wechsel in den abgesicherten Modus. Leider befindet sich entgegen der Anleitung keine Datei Namens "mwavscan.com" auf der Festplatte. Deshalb: 4. Reboot in den normalen Modus. Und Start von eScan. Hier das Ergebnis: ************************************** ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.2 Sprache: German Virus-Datenbank Datum: 9/13/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\avenger\backup-13.09.2003-18.33.00,04.zip infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\avenger\backup.zip infiziert von "Trojan-Downloader.Win32.Alphabet.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde.zip infiziert von "Password-protected-EXE" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\4L6FKLEF\cad_111[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\896J41MZ\cha_111[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\setup.exe infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\temp\gos294.tmp infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\Appz\Archiv\Norton Internet Security 2006\2006.nis-galedo\WIN9X\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\Appz\Archiv\Norton Internet Security 2006\2006.nis-galedo\WINNT\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\movies\BlindWrite5_setup.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\WINNT\msiinst.tmp\msiexec.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\internet.lnk Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\reboot.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swreg.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\pv.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\swreg.exe Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CommonDialogs.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader2.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader3.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader4.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader5.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader6.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MagicAntiSpy.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsActiveDesktop.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSOffice.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SearchFind.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde2.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde3.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde4.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde5.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WindowsActiveDesktop.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Zlockuc.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV07\NAV\Pre Crack 207.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV07\NAV07 KEYGEN CRACK.bat nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV07\Support\YahooToolbar\YTB.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV_2007.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\4PST6RC9\xpprointegratedaugust07dailywarez[1].part1.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2R6B2HAV\Ultraviolet[1].CiF.part4.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2R6B2HAV\Ultraviolet[1].CiF.part6.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4NF7MO59\vonesvcd[1].part04.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6QQDH506\Ultraviolet[1].CiF.part5.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6QQDH506\Ultraviolet[1].CiF.part7.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8X2NQR45\Ultraviolet[1].CiF.part2.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\95148BG1\Ultraviolet[1].CiF.part3.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\95148BG1\Ultraviolet[1].CiF.part8.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5UFW5MB\Ultraviolet[1].CiF.part1.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UUNARIBT\vonesvcd[1].part03.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1034.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1042.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1046.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1107.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1108.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1109.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1110.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1111.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1112.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1113.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1114.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1115.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1116.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1117.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1118.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1119.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1120.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 142189 Gefundene Viren: 25 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 120 Dauer des Scans bisher: 03:25:37 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 22:34:21,03 Batchende: 22:35:08,37 ****************************** |
|
| Themen zu virtumonde lässt sich nicht entfernen |
| abgesicherten modus, adobe, antiwpa, bho, browser, ctfmon.exe, dll, drivers, einstellungen, entfernen, explorer, firewall, hijackthis, hkus\s-1-5-18, installation, internet explorer, internet security, lässt sich nicht entfernen, microsoft, pdf, programm, programme, regsvr32, rojaner gefunden, rundll, s-1-5-18, scan, software, super, symantec, system, trend micro, trojaner, trojaner gefunden, usb, virtumonde, windows, windows xp |
Linear-Darstellung
