Hallo liebe Forengemeinde

Bei der Installation einer neuen Firewall hatte ich ungeschützten Internetverkehr.

Es kam, wie es kommen musste, und ich habe mir einige Sachen eingefangen, wobei sich nur "virtumonde" als äußerst hartnäckig herausstellt.

Folgendes habe ich bereits im abgesicherten Modus gemacht:

-avg-antiPsyware
-> hat einen Trojaner gefunden und entfernt

- Ad-Aware
-> Findet nichts

- Spybot search&destroy
-> Meldet immer noch einen Registry-Eintrag von "virtumonde". Wenn ich diesen mit dem Programm entferne und dann nochmals scanne, ist er aber wieder da.....

Ich poste untenstehend mal mein Hijack-File (durchgeführt im normalen (also nicht abgesicherten) Modus)).

Es wäre super, wenn ihr das mal ansehen könntet und mir Tipps geben würdet.

Für Eure Hinweise bedanke ich mich bereits jetzt!

Schöne Grüße
Joggele





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:08:47, on 12.09.2003
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\SecCenter\scprot4.exe
C:\Programme\Symantec\LiveUpdate\ALuNotify.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: (no name) - {64B94229-7967-860A-A0C2-034C02BA876B} - C:\Programme\Rigwhycd\tlpjeumr.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [odmtmtmn] rundll32.exe "C:\Programme\odmtmtmn\ydmfursh.dll",Init
O4 - HKLM\..\Run: [cfoxexap] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cfoxexap.dll"
O4 - HKLM\..\Run: [SC2] C:\Programme\SecCenter\scprot4.exe
O4 - HKLM\..\Run: [ALUAlert] C:\Programme\Symantec\LiveUpdate\ALuNotify.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155982134483
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: winmxw32 - C:\WINDOWS\SYSTEM32\winmxw32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 9131 bytes

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\SYSTEM32\winmxw32.dll
C:\Programme\odmtmtmn\ydmfursh.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cfoxexap.dll
C:\Programme\SecCenter\scprot4.exe
C:\Programme\Rigwhycd\tlpjeumr.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)


Gruß
Sunny

Hallo,

vielen Dank für das erste Feedback

Die Ergebnisse der Virustotal-Scans poste ich dann mal im Anschluss. Der eScan folgt in Kürze...

Schöne Grüße
Jogele


********************************************************************************************

Datei winmxw32.dll empfangen 2007.09.12 17:20:41 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 14/32 (43.75%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.11.1 2007.09.12 -
AntiVir 7.6.0.10 2007.09.12 TR/Crypt.PEC2X.Gen
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.12 -
AVG 7.5.0.485 2007.09.12 -
BitDefender 7.2 2007.09.12 -
CAT-QuickHeal 9.00 2007.09.12 -
ClamAV 0.91.2 2007.09.12 -
DrWeb 4.33 2007.09.12 -
eSafe 7.0.15.0 2007.09.12 Suspicious Trojan/Worm
eTrust-Vet 31.1.5128 2007.09.12 -
Ewido 4.0 2007.09.12 -
FileAdvisor 1 2007.09.12 -
Fortinet 3.11.0.0 2007.09.12 -
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.12 Trojan.Win32.Dialer.qn
Ikarus T3.1.1.12 2007.09.12 Trojan.Win32.Agent.qt
Kaspersky 4.0.2.24 2007.09.12 Trojan.Win32.Dialer.qn
McAfee 5117 2007.09.11 BackDoor-CVT
Microsoft 1.2803 2007.09.12 -
NOD32v2 2525 2007.09.12 Win32/Agent.QT
Norman 5.80.02 2007.09.12 W32/Dialer.BOAZ
Panda 9.0.0.4 2007.09.12 Suspicious file
Prevx1 V2 2007.09.12 Trojan.Vundo
Rising 19.40.22.00 2007.09.12 -
Sophos 4.21.0 2007.09.12 Troj/Nebule-Gen
Sunbelt 2.2.907.0 2007.09.12 VIPRE.Suspicious
Symantec 10 2007.09.12 -
TheHacker 6.1.10.184 2007.09.11 -
VBA32 3.12.2.4 2007.09.12 -
VirusBuster 4.3.26:9 2007.09.12 Dialer.DialXS.Gen!Pac.2
Webwasher-Gateway 6.0.1 2007.09.12 Trojan.Crypt.PEC2X.Gen
weitere Informationen
File size: 20480 bytes
MD5: d58344aaded057df6c5bbd1b707e2003
SHA1: a03e044fe50e79e81ca56db0a051cd55450af04c
packers: PECOMPACT
packers: PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=64A0406E0015140750F000EE807DDA001FDBD8AC


*************************************************************


Datei ydmfursh.dll empfangen 2007.09.12 17:26:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 3/32 (9.38%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.11.1 2007.09.12 -
AntiVir 7.6.0.10 2007.09.12 HEUR/Crypted
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.12 -
AVG 7.5.0.485 2007.09.12 -
BitDefender 7.2 2007.09.12 -
CAT-QuickHeal 9.00 2007.09.12 -
ClamAV 0.91.2 2007.09.12 -
DrWeb 4.33 2007.09.12 -
eSafe 7.0.15.0 2007.09.12 -
eTrust-Vet 31.1.5128 2007.09.12 -
Ewido 4.0 2007.09.12 -
FileAdvisor 1 2007.09.12 -
Fortinet 3.11.0.0 2007.09.12 -
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.12 -
Ikarus T3.1.1.12 2007.09.12 -
Kaspersky 4.0.2.24 2007.09.12 -
McAfee 5117 2007.09.11 -
Microsoft 1.2803 2007.09.12 -
NOD32v2 2525 2007.09.12 -
Norman 5.80.02 2007.09.12 -
Panda 9.0.0.4 2007.09.12 -
Prevx1 V2 2007.09.12 Malware.Gen
Rising 19.40.22.00 2007.09.12 -
Sophos 4.21.0 2007.09.12 -
Sunbelt 2.2.907.0 2007.09.12 -
Symantec 10 2007.09.12 -
TheHacker 6.1.10.184 2007.09.11 -
VBA32 3.12.2.4 2007.09.12 -
VirusBuster 4.3.26:9 2007.09.12 -
Webwasher-Gateway 6.0.1 2007.09.12 Heuristic.Crypted
weitere Informationen
File size: 47104 bytes
MD5: beee63662b4fd669f6a25b2e4f60e328
SHA1: 5960f2f6b140553a05884f287cafcd71761263f0
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=5785244E008A6D77B889008A0A7A6C0085FCF2AF


*******************************************
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cfoxexap.dll

-> Diese gewünschte Datei habe ich nicht auf der Festplatte.

*********************************************

Datei scprot4.exe empfangen 2007.09.12 17:36:03 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 1/32 (3.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.11.1 2007.09.12 -
AntiVir 7.6.0.10 2007.09.12 -
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.12 -
AVG 7.5.0.485 2007.09.12 -
BitDefender 7.2 2007.09.12 -
CAT-QuickHeal 9.00 2007.09.12 -
ClamAV 0.91.2 2007.09.12 -
DrWeb 4.33 2007.09.12 -
eSafe 7.0.15.0 2007.09.12 -
eTrust-Vet 31.1.5128 2007.09.12 -
Ewido 4.0 2007.09.12 -
FileAdvisor 1 2007.09.12 -
Fortinet 3.11.0.0 2007.09.12 -
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.12 -
Ikarus T3.1.1.12 2007.09.12 -
Kaspersky 4.0.2.24 2007.09.12 -
McAfee 5117 2007.09.11 -
Microsoft 1.2803 2007.09.12 -
NOD32v2 2525 2007.09.12 -
Norman 5.80.02 2007.09.12 -
Panda 9.0.0.4 2007.09.12 -
Prevx1 V2 2007.09.12 Malware.Gen
Rising 19.40.22.00 2007.09.12 -
Sophos 4.21.0 2007.09.12 -
Sunbelt 2.2.907.0 2007.09.12 -
Symantec 10 2007.09.12 -
TheHacker 6.1.10.184 2007.09.11 -
VBA32 3.12.2.4 2007.09.12 -
VirusBuster 4.3.26:9 2007.09.12 -
Webwasher-Gateway 6.0.1 2007.09.12 -
weitere Informationen
File size: 266240 bytes
MD5: 907204e26f071580a0c260fcd4bd0fe7
SHA1: e27ba7b5bb650c1df8a53e977164eca5265be084
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=BF29609900B5A9B010D804A8C708670020BF06D4


*************************************************************

Datei tlpjeumr.dll empfangen 2007.09.12 17:45:19 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 3/32 (9.38%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 48 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.11.1 2007.09.12 -
AntiVir 7.6.0.10 2007.09.12 HEUR/Crypted
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.12 -
AVG 7.5.0.485 2007.09.12 -
BitDefender 7.2 2007.09.12 -
CAT-QuickHeal 9.00 2007.09.12 -
ClamAV 0.91.2 2007.09.12 -
DrWeb 4.33 2007.09.12 -
eSafe 7.0.15.0 2007.09.12 -
eTrust-Vet 31.1.5128 2007.09.12 -
Ewido 4.0 2007.09.12 -
FileAdvisor 1 2007.09.12 -
Fortinet 3.11.0.0 2007.09.12 -
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.12 -
Ikarus T3.1.1.12 2007.09.12 -
Kaspersky 4.0.2.24 2007.09.12 -
McAfee 5117 2007.09.11 -
Microsoft 1.2803 2007.09.12 -
NOD32v2 2525 2007.09.12 -
Norman 5.80.02 2007.09.12 -
Panda 9.0.0.4 2007.09.12 -
Prevx1 V2 2007.09.12 Malware.Gen
Rising 19.40.22.00 2007.09.12 -
Sophos 4.21.0 2007.09.12 -
Sunbelt 2.2.907.0 2007.09.12 -
Symantec 10 2007.09.12 -
TheHacker 6.1.10.184 2007.09.11 -
VBA32 3.12.2.4 2007.09.12 -
VirusBuster 4.3.26:9 2007.09.12 -
Webwasher-Gateway 6.0.1 2007.09.12 Heuristic.Crypted
weitere Informationen
File size: 98304 bytes
MD5: e27b61523b2a122e77d752e1bae8db1e
SHA1: df3c854fc8344d30d146644e9df16c6f902602b6
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=8549DDBA0071D840802F01DAA1F16C00A07C7C79

Gut gemacht ... nun noch den eScan durchführen und danach geht es mit der Bereinigung weiter.

Sunny

Hallo,

ich habe jetzt mehrmals die Vorgehensweise wie für eScan beschrieben befolgt. Leider bekomme ich das nicht gebacken.

Ich folge der Version "eScan-Anleitung für User ohne! Router.......... "

Ich komme bis zu dem Punkt "7. Escan beenden und in den abgesicherten Modus wechseln. (den Account verwenden, der für das Update von eScan verwendet wurde)".
Ich muss dann aber im abgesicherten Modus feststellen, dass sich auf der gesamten HD keine Datei "mwavscan.com" befindet.

Ich habe die Vermutung, dass der Fehler bei einem früheren Punkt der Anleitung liegt.

Denn bevor der abgebildete Screen mit den "licence agreements" angezeigt wird, werden die Programmdateien extrahiert. Das macht das Installationsprogramm in ein Temporäres Verzeichnis in einem User-Verzeichnis....zwar wird ein "Browse" zum Wechsel des Verzeichnises angezeigt, dieser Button ist aber ausgegraut/deaktivert....kann es vielelicht daran liegen....

Schöne Grüße
Joggele

.....arrrrrgh.....! Ich krieg Plack! Wenn ich nach etwas google und einen Treffer anklicke, dann lande ich auf irgendeiner shice-Site, nur nicht der, die mir unter Google angezeigt wurde......hat mir mal jemand die Adresse des Trojaner-Coders....

Da eScan noch nicht will wie es soll, fangen wir mal vorzeitig mit einer Bereinigung an:


Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\Programme\Rigwhycd\tlpjeumr.dll
C:\WINDOWS\SYSTEM32\winmxw32.dll
C:\Programme\odmtmtmn\ydmfursh.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, dieses mal im normalen Modus, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.


außerdem:

Suche in folgendem Ordner die Datei -> hosts und öffne sie mit dem Editor. (rechte Maustaste auf die Datei!)

c:\windows\system32\drivers\etc\hosts

kopiere den gesamten Inhalt der Datei hier mit in den Beitrag.


Sunny

Hallo

der Scan ist nun beendet, und es wurden auch ein paar "Kleinigkeiten" gefunden.

Nun aber mal der Reihe nach....

1. Avenger

Das hat geklappt. Hier das Protokoll:
**************
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oj^ycnmx

*******************

Script file located at: \??\C:\WINDOWS\fjtmxpat.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programme\Rigwhycd\tlpjeumr.dll deleted successfully.
File C:\WINDOWS\SYSTEM32\winmxw32.dll deleted successfully.
File C:\Programme\odmtmtmn\ydmfursh.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
**********************



2. eScan im normalen Modus (mit Administrator-Account)

Wie gesagt, da wurden so ein paar Sachen gefunden. Das Protokoll "MWAV.TXT") beinhaltet alle 156000 gescannten Dateien inkl. Pfad und hat 17 MB. Also das poste ich mal nicht...

In Zeile 5 wird allerdings eine Logdatei genannt ("C:\DOKUME~1\Ch\LOKALE~1\Temp\MWAV.LOG"). Diese gibt es aber gar nicht in diesem Verzeichnis. Liegt das vielelicht daran, dass das ein temporäres Verzeichnis ist und ich zwischenzeitlich den Rechner neu gebootet habe? Soll ich dann eScan die nächsten Stunden nochmal laufen lassen? Alternativ könnte ich auch alle Zeilen mit dem Stichwort "infiziert" aus der 17MB-Datei rauskopieren.....?


3. hosts

Wenigstens diese Datei ist sauber....wäre ja auch zu einfach....

************************************
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
***********************************************



Schöne Grüße
Joggele

Sehr schön

Um das eScan Ergebnis zu posten brauchst du die find.bat.
Einfach runterladen auf den Desktop und ausführen, danach wird eine Text-Datei erstellt, kopiere den gesamten Inhalt ab und poste diesen hier!

Die find.bat gibt es hier -> http://files.trojaner-board.de/find.bat

Sunny

hallo ich bin neu hier und weiß nicht wie man ein eigenes thema erstellt,...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Zitat:

Zitat von sino

hallo ich bin neu hier und weiß nicht wie man ein eigenes thema erstellt,

Du gehst nach Klick und benützt den Button "Neues Thema".