Trojaner "Virtumonde" und seine üblen Kumpane...

Gabriela · 23.09.2007, 19:38

Hallo zusammen

Da ich so langsam mit meinem Rechner nicht mehr weiter weiss wende ich mich an euch Profis.

Ich habe auf meinem Computer antivir installiert und seit einigen Tagen meldet ativir immer und immer und immer wieder dass mein Computer von Trojanern befallen wäre. Die Optionen die ich dann habe (Quarantäne, löschen, ignorieren) nützten mir bisher auch nichs.

Etliche Stunden später habe ich nun diverse Onlinescanner (Trendmicro, panda, kaperski, bitdefener) ausprobiert und auch andere Removal Tools (adaware 2007, Spybot Search & Destroy) verwendet. Diese finden immer wieder die gleichen üblen Gesellen. Die meisten davon lassen sich dann auch entfernen - sind jedoch nach dem Neustart schnell wieder da. Am hartnäckigsten scheint mir der Trojaner "Virtumonde" zu sein... der kommt wirklich immer wieder.

Als letzte Hoffnung bevor ich das Ding zum Fenster rauswerfe poste ich euch noch mein HJT File. Vielleicht weiss ja jemand von euch weiter. Vielen Dank schonmal im Vorraus ihr seid die Besten

Liebe Grüsse
Gabriela

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:09, on 23.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Siemens\Adsl\dslstat.exe
C:\Program Files\Siemens\Adsl\dslagent.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\WLANSTA.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Extra Film Digitorder\Agent.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\zstatus.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Octoshape Streaming Services\Gabriela\OctoshapeClient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
F2 - REG:system.ini: UserInit=C:\Windows\System32\userinit.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [hp 1000 firmware] C:\Programme\hp LaserJet 1000\fwdl.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Siemens\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Siemens\Adsl\dslagent.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] "C:\Programme\Extra Film Digitorder\Agent.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\rmjueqod.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ChkMail] èn
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\Gabriela\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: in/mit BitSpirit runterladen - C:\Programme\BitSpirit\bsurl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - h**p://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - h**p://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096061192250
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - h**p://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - h**p://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - h**p://www.kochmesser.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A57B18E-2F5D-11D5-8997-00104BD12D94} (compid Class) - h**p://support.gateway.com/support/serialharvest/gwCID.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {AB4DFFDE-F9DC-4331-89DA-90E346540D59} (futureLAB ImageUploader) - h**p://upload.smartfoto.ch/helpers/fLImageUploader.cab
O16 - DPF: {D32C3BAD-5213-49BD-A7D5-E6DE6C0D8249} (CRAVOnline Object) - h**p://www.rav.ro/scan/ravonline.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\Windows\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 10281 bytes

cosinus · 23.09.2007, 21:02

Hallo.

C:\WINDOWS\system32\rmjueqod.dll

Werte diese Datei zuerst online bei Virustotal aus und poste das Ergebnis.
Egal was heraus herauskommt, führ erst diesen check durch und führ dann vundofix aus, damit kann man virtumonde/vundo recht zuverlässig entfernen:

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Führ auch mal folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Blacklight
- Silentrunners

Und mach bitte ein Filelist:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Gabriela · 24.09.2007, 09:27

Hallo cosinus

Vielen Dank für die schnelle Antwort. Ich versuche nun alles was du gesagt hast Schritt für Schritt zu machen.

Die Datei C:\WINDOWS\system32\rmjueqod.dll habe ich bei Virustotal auswerten lassen, wobei 3 der Scanner irgendetwas gefunden haben. Leider habe ich die Auswertung nicht mehr weil ich danach VundoFix.exe benutzt habe und diese ja den Computer neustartet. (Da habe ich wohl zu wenig überlegt). Nach der VundoFix.exe war die Datei C:\WINDOWS\system32\rmjueqod.dll jedoch nicht mehr vorhanden somit konnte ich sie auch nicht noch einmal bei Virustotal auswerten lassen

Die VundoFix.exe hat übrigens mehrere Sachen gefunden und musste insgesammt ca. 3 mal Neustarten bis sie nichts mehr gefunden hat (keine Ahnung ob das wichtig ist).

Gerade eben habe ich noch den eScan nach Anleitung durchgeführt und kann jetzt das logfile posten. Die anderen Tools (Blacklight, Silentrunners) und die Filelist werde ich gleich versuchen durchzulaufen - die Ergebnisse editiere ich dann in diesen post. Vielen Dank auf jeden Fall schonmal für deine/eure (falls noch andere helfen wollen) Bemühungen. Ich weiss nicht was ich ohne dieses Forum sonst noch machen könnte.

Liebe Grüsse
Gabriela

eScan Auswertung:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 9/21/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "search assistant Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with abetterinternet Spyware/Adware (alchem.ini)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (libeay32_1-1-0_ddr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (ssleay32_1-1-0_ddr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (stlport_4_0_0_ddr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (xerces-c_1_40_0_ddr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with cydoor Spyware/Adware (cfd.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with lingling Trojan (C:\WINDOWS\system32\~.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Gabriela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2QBIZJCB\landing[1].htm infiziert von "Trojan-Downloader.JS.Psyme.me" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\opnoo.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\opnoo.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\opnoo.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\opnoo.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Gabriela\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Gabriela\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Program Files\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.614. Keine Aktion vorgenommen.
File C:\VundoFix Backups\opnoo.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Windows\system32\opnoo.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\alchem.ini
Offending file found: C:\WINDOWS\system32\libeay32_1-1-0_ddr.dll
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\ssleay32_1-1-0_ddr.dll
Offending file found: C:\WINDOWS\system32\stlport_4_0_0_ddr.dll
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\xerces-c_1_40_0_ddr.dll
Offending file found: C:\WINDOWS\system32\~.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kazaa
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKLM\Software\microsoft\windows sa !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\autoplay.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\Gabriela\Lokale Einstellungen\Temp\AVPDC7.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Gabriela\Lokale Einstellungen\Temp\gtb24.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\MUSICMATCH\MUSICMATCH Update\MMJB\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 109526
Gefundene Viren: 25
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 285
Dauer des Scans bisher: 01:52:46
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 10:16:08.97
Batchende: 10:17:02.96

Edit1: Also ich habe jetzt auch Blacklight drüber laufen lassen. Im Normalen nicht abgesicherten Modus - hoffe das ist richtig so. Der hat mir dann nach dem Schritt1 eine Liste ausgespuckt und dann konnte ich für diese ganze Liste irgendwie nur die Option "rename" wählen. Und ein logfile etc. welches ich hier posten könnte hat es auch nicht generiert *ratlos*. Ich versuche mich jetzt mal an Silentrunners und der Filelist.

Gabriela · 24.09.2007, 10:28

Hier noch das Ergebnis von Silentunners - ich konnte das log nicht mehr in meinen letzten Post editieren weil dieser sonst zu lang geworden wäre

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"ChkMail" = "èn" [file not found]
"Octoshape Streaming Services" = ""C:\Programme\Octoshape Streaming Services\Gabriela\OctoshapeClient.exe" -inv:bootrun" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchAp" = "C:\Program Files\Launch Manager\LaunchAp.exe" [empty string]
"HotkeyApp" = "C:\Program Files\Launch Manager\HotkeyApp.exe" [null data]
"CtrlVol" = "C:\Program Files\Launch Manager\CtrlVol.exe" [null data]
"Wbutton" = ""C:\Program Files\Launch Manager\Wbutton.exe"" [empty string]
"LTSMMSG" = "LTSMMSG.exe" ["Lucent Technologies"]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"NeroCheck" = "C:\WINDOWS\System32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"InCD" = "C:\Programme\Ahead\InCD\InCD.exe" [null data]
"hp 1000 firmware" = "C:\Programme\hp LaserJet 1000\fwdl.exe" ["Zenographics"]
"DSLSTATEXE" = "C:\Program Files\Siemens\Adsl\dslstat.exe icon" ["GlobespanVirata, Inc."]
"DSLAGENTEXE" = "C:\Program Files\Siemens\Adsl\dslagent.exe" [null data]
"AtiPTA" = "atiptaxx.exe" ["ATI Technologies, Inc."]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"BJCFD" = "C:\Programme\BroadJump\Client Foundation\CFD.exe" ["BroadJump, Inc."]
"WLANSTA.EXE" = "WLANSTA.EXE START" ["NETGEAR"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"Microsoft Works Update Detection" = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" ["Microsoft® Corporation"]
"ExtraFilmHemmaAgent" = ""C:\Programme\Extra Film Digitorder\Agent.exe"" [null data]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{351BAD1F-6168-463B-AC50-27A771CFC0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\cbayx.dll" [file not found]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\windows\downloaded program files\googletoolbar3.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]
{F13857B1-A088-4A0B-9E6B-D90130E83211}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\opnoo.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1D2680C9-0E2A-469d-B787-065558BC7D43}" = "Fusion Cache"
-> {HKLM...CLSID} = "Fusion Cache"
\InProcServer32\(Default) = "C:\WINDOWS\system32\mscoree.dll" [file not found]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{EBDF1F20-C829-11D1-8233-0020AF3E97A6}" = "PDG Context Menu Shell Extension"
-> {HKLM...CLSID} = "PDG Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\PDG3~1\contmenu.dll" [null data]
"{D00900BC-23F7-4FD6-BFA2-8232112C5C49}" = "NRad Extension"
-> {HKLM...CLSID} = "NRadExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\NRad.dll" [empty string]
"{5380C14E-C0A1-4D66-87DB-5995E6FF4623}" = "Rad Extension"
-> {HKLM...CLSID} = "RadPropExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Rad.dll" [empty string]
"{D2FD83AE-994A-4D4B-9097-2C9E11ED85F0}" = "RadClkr Extension"
-> {HKLM...CLSID} = "RadClkRExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\RadClkR.dll" [empty string]
"{C6844A1E-2C59-415A-84B3-C6A458372779}" = "RadType Extension"
-> {HKLM...CLSID} = "RadTypeExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\RadType.dll" [empty string]
"{75B8D633-9021-442C-9EA4-FF4BE72CE20F}" = "NRad2 Extension"
-> {HKLM...CLSID} = "NRadExt2 Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\NRad.dll" [empty string]
"{36518101-49AC-42CB-8E4C-40C1F328A565}" = "Rad2 Extension"
-> {HKLM...CLSID} = "RadPropExt2 Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Rad.dll" [empty string]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{35B2861B-2B26-4691-9FF0-09083722C736}" = "RadExe Extension"
-> {HKLM...CLSID} = "RadExeExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\RadExe.dll" [empty string]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "lsdelete" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> opnoo\DLLName = "C:\WINDOWS\system32\opnoo.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> application/octet-stream\CLSID = "{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
-> {HKLM...CLSID} = "Cor MIME Filter, CorFltr, CorFltr 1"
\InProcServer32\(Default) = "C:\WINDOWS\system32\mscoree.dll" [file not found]
<<!>> application/x-complus\CLSID = "{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
-> {HKLM...CLSID} = "Cor MIME Filter, CorFltr, CorFltr 1"
\InProcServer32\(Default) = "C:\WINDOWS\system32\mscoree.dll" [file not found]
<<!>> application/x-msdownload\CLSID = "{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
-> {HKLM...CLSID} = "Cor MIME Filter, CorFltr, CorFltr 1"
\InProcServer32\(Default) = "C:\WINDOWS\system32\mscoree.dll" [file not found]
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ContMenu\(Default) = "{EBDF1F20-C829-11D1-8233-0020AF3E97A6}"
-> {HKLM...CLSID} = "PDG Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\PDG3~1\contmenu.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ContMenu\(Default) = "{EBDF1F20-C829-11D1-8233-0020AF3E97A6}"
-> {HKLM...CLSID} = "PDG Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\PDG3~1\contmenu.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
ContMenu\(Default) = "{EBDF1F20-C829-11D1-8233-0020AF3E97A6}"
-> {HKLM...CLSID} = "PDG Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\PDG3~1\contmenu.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Gabriela\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\scrnsave.scr" [MS]

Startup items in "Gabriela" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"D-Link AirPlus" -> shortcut to: "C:\Programme\D-Link AirPlus\AirPlus.exe" ["D-Link"]
"InterVideo WinCinema Manager" -> shortcut to: "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" [empty string]

Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
"XoftSpy" -> launches: "C:\Programme\XoftSpy\XoftSpy.exe -t" ["ParetoLogic Inc."]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 30
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\windows\downloaded program files\googletoolbar3.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\windows\downloaded program files\googletoolbar3.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\windows\downloaded program files\googletoolbar3.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
iPod Service, iPod Service, ""C:\Programme\iPod\bin\iPodService.exe"" ["Apple Computer, Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
CLPA1 Langmon\Driver = "clpa1lmk.dll" ["Samsung Electronics."]
hpZJLanguageMonitor\Driver = "ZLMhp1.DLL" ["Zenographics"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]

---------- (launch time: 2007-09-24 11:24:09)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 60 seconds, including 14 seconds for message boxes)

Gabriela · 24.09.2007, 10:40

So und hier noch als letztes die filelist. Ich hoffe ich habe alles richtig gemacht und irgendjemand wird aus den ganzen logs schlau, denn ich verstehe hier nur Bahnhof

Vielen vielen Dank schonmal im Vorraus an alle meine Helfer

Liebe Grüsse
Gabriela

Filelist:

Verzeichnis von C:\

24.09.2007 10:31 805'306'368 pagefile.sys
24.09.2007 10:11 0 23990098.$$$
23.09.2007 22:31 2'211 VundoFix.txt
23.09.2007 21:22 2'073 rapport.txt
23.09.2007 09:28 9'768'492 reclock_log.txt

Verzeichnis von C:\WINDOWS\system32

24.09.2007 11:33 637'255 oonpo.ini
24.09.2007 10:33 1'158 wpa.dbl
23.09.2007 21:21 0 tmp.txt
23.09.2007 21:21 4'180 tmp.reg
23.09.2007 20:11 693'661 ahaaockc.ini
22.09.2007 19:28 262'708 opnoo.dll
22.09.2007 18:14 693'601 idfkxapx.ini
21.09.2007 13:40 24'576 ~.exe
06.09.2007 04:50 17'474'680 MRT.exe
06.09.2007 00:22 289'144 VCCLSID.exe
29.08.2007 16:31 249'772 TZLog.log

Verzeichnis von C:\WINDOWS\Prefetch

24.09.2007 11:30 18'344 NOTEPAD.EXE-336351A9.pf
24.09.2007 11:30 10'730 REG.EXE-0D2A95F7.pf
24.09.2007 11:30 18'692 CMD.EXE-087B4001.pf
24.09.2007 11:30 11'316 FINDSTR.EXE-0CA6274B.pf
24.09.2007 11:30 7'196 MORE.COM-32DCB7E4.pf
24.09.2007 11:29 14'790 WINRAR.EXE-3588DFE8.pf
24.09.2007 11:26 59'812 AVNOTIFY.EXE-22AE9451.pf
24.09.2007 11:26 47'886 UPDATE.EXE-13D57D76.pf
24.09.2007 11:25 14'132 PREUPD.EXE-358AA1C1.pf
24.09.2007 11:24 72'960 WMIPRVSE.EXE-28F301A9.pf
24.09.2007 11:24 29'966 WSCRIPT.EXE-32960AB9.pf
24.09.2007 10:51 40'892 SCRNSAVE.SCR-017F06EB.pf
24.09.2007 10:37 21'652 WKUFIND.EXE-18C07230.pf
24.09.2007 10:37 14'708 FSBL.EXE-356F3D9B.pf
24.09.2007 10:33 40'410 WGATRAY.EXE-0ED38BED.pf
24.09.2007 10:33 17'272 ALG.EXE-0F138680.pf
24.09.2007 10:33 19'272 WUAUCLT.EXE-399A8E72.pf
24.09.2007 10:33 85'472 IEXPLORE.EXE-2CA9778D.pf
24.09.2007 10:32 14'786 SVCHOST.EXE-3530F672.pf
24.09.2007 10:32 13'788 IPODSERVICE.EXE-233792DA.pf
24.09.2007 10:32 24'496 OCTOSHAPECLIENT.EXE-1A1E872B.pf
24.09.2007 10:32 45'054 IMAPI.EXE-0BF740A4.pf
24.09.2007 10:32 11'976 WINCINEMAMGR.EXE-04A7509F.pf
24.09.2007 10:32 20'838 AIRPLUS.EXE-1F8169E0.pf
24.09.2007 10:32 642'222 NTOSBOOT-B00DFAAD.pf
23.09.2007 22:54 20'852 LOGONUI.EXE-0AF22957.pf
23.09.2007 22:53 18'028 DOWNLOAD.EXE-288448C9.pf
23.09.2007 22:53 47'980 SCANNINGPROCESS.EXE-0834EE53.pf
23.09.2007 22:53 14'856 MWAVL.EXE-1B22226E.pf
23.09.2007 22:52 10'856 MEXE.COM-0012201D.pf
23.09.2007 22:52 76'170 MWAV.EXE-27B6FAE8.pf
23.09.2007 22:32 27'188 ZSTATUS.EXE-2B6D1B4B.pf
23.09.2007 22:32 18'612 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf
23.09.2007 22:32 54'056 AVGNT.EXE-36CA4640.pf
23.09.2007 22:32 17'082 CTFMON.EXE-0E17969B.pf
23.09.2007 22:32 14'082 MSMSGS.EXE-32066BA5.pf
23.09.2007 22:24 11'732 REGEDIT.EXE-1B606482.pf
23.09.2007 22:21 8'562 VUNDOFIXSVC.EXE-18ADD79E.pf
23.09.2007 22:20 11'248 SHUTDOWN.EXE-12DAD820.pf
23.09.2007 22:12 15'950 VUNDOFIX.EXE-00C8411B.pf
23.09.2007 22:12 19'116 RUNDLL32.EXE-3A0E5674.pf
23.09.2007 22:07 13'288 VERCLSID.EXE-3667BD89.pf
23.09.2007 20:19 25'732 HIJACKTHIS.EXE-39024128.pf
23.09.2007 20:19 24'604 GUARDGUI.EXE-1BD45C30.pf
23.09.2007 20:14 54'276 AVCENTER.EXE-37584419.pf
23.09.2007 19:56 25'680 DFRGNTFS.EXE-269967DF.pf
23.09.2007 19:56 31'614 DEFRAG.EXE-273F131E.pf
23.09.2007 19:55 163'212 Layout.ini
23.09.2007 19:26 36'268 SPYBOTSD.EXE-1D495A65.pf
23.09.2007 16:12 6'772 UPD81.BPX-0C69427E.pf
23.09.2007 16:10 15'278 REGSVR32.EXE-25EEFE2F.pf
23.09.2007 16:03 24'270 TC6.EXE-12ABF9C1.pf
23.09.2007 14:34 54'856 SDUPDATE.EXE-30CF90C0.pf
23.09.2007 13:11 46'714 AVSCAN.EXE-05AECC0E.pf
23.09.2007 12:48 33'664 AD-AWARE2007.EXE-1AE91ED3.pf
23.09.2007 11:27 49'218 HELPSVC.EXE-2878DDA2.pf
23.09.2007 07:59 11'326 ITUNESHELPER.EXE-08906EB7.pf
23.09.2007 07:59 15'226 AGENT.EXE-06F20C5A.pf
23.09.2007 07:59 11'004 SYNTPENH.EXE-3967AE36.pf
23.09.2007 07:59 11'706 LTSMMSG.EXE-2E42CB64.pf
23.09.2007 07:59 8'008 SYNTPLPR.EXE-0AB61C3B.pf
23.09.2007 07:59 9'080 CTRLVOL.EXE-3824587E.pf
23.09.2007 07:58 6'036 NEROCHECK.EXE-092C6DFA.pf
22.09.2007 23:06 20'098 REALSCHED.EXE-0A2A7558.pf
22.09.2007 21:36 86'680 REALPLAY.EXE-39F79CBD.pf
21.09.2007 17:29 13'650 W3XMAPHACK12101.EXE-22436F55.pf
21.09.2007 17:28 16'174 AUTOHOTKEY.EXE-1B607C2C.pf
19.09.2007 16:25 12'910 RUNDLL32.EXE-451FC2C0.pf
68 Datei(en) 2'532'376 Bytes
0 Verzeichnis(se), 13'558'472'704 Bytes frei

Verzeichnis von C:\WINDOWS

24.09.2007 10:34 1'721'883 WindowsUpdate.log
24.09.2007 10:33 159 wiadebug.log
24.09.2007 10:32 50 wiaservc.log
24.09.2007 10:32 0 0.log
24.09.2007 10:32 3'846 ModemLog_Lucent Technologies Soft Modem AMR.txt
24.09.2007 10:31 2'048 bootstat.dat
24.09.2007 08:30 40'715 setupapi.log
24.09.2007 08:18 50 Lic.xxx
24.09.2007 08:16 942'770 ntbtlog.txt
23.09.2007 22:54 32'622 SchedLgU.Txt
23.09.2007 22:45 1'026 win.ini
23.09.2007 21:21 216'378 setupact.log
23.09.2007 20:13 98 cookies.ini
23.09.2007 12:43 54'156 QTFont.qfn
22.09.2007 21:29 94 wininit.ini
17.09.2007 18:13 1'409 QTFont.for
13.09.2007 01:48 71'733 War3Unin.dat
13.09.2007 01:40 2'829 War3Unin.pif
13.09.2007 01:40 139'264 War3Unin.exe
13.09.2007 00:48 142'177 iis6.log
13.09.2007 00:48 304'948 comsetup.log
13.09.2007 00:48 185'270 ntdtcsetup.log
13.09.2007 00:48 355'538 tsoc.log
13.09.2007 00:48 1'917 imsins.log
13.09.2007 00:48 49'205 ocmsn.log
13.09.2007 00:48 456'324 ocgen.log
13.09.2007 00:48 45'627 msgsocm.log
13.09.2007 00:48 907'282 FaxSetup.log
29.08.2007 16:32 1'374 imsins.BAK
29.08.2007 16:32 21'436 KB933360.log

Verzeichnis von C:\WINDOWS\tasks

24.09.2007 10:31 6 SA.DAT

Verzeichnis von C:\WINDOWS\temp

24.09.2007 10:51 255 WGAErrLog.txt
24.09.2007 10:33 409 WGANotify.settings
06.09.2007 13:10 0 Upd2D.tmp
05.09.2007 12:24 0 Upd2C.tmp
04.09.2007 12:24 0 Upd2B.tmp
03.09.2007 12:24 0 Upd2A.tmp
02.09.2007 12:23 0 Upd29.tmp
01.09.2007 11:48 0 Upd28.tmp
30.08.2007 22:23 0 Upd27.tmp
29.08.2007 22:23 0 Upd26.tmp
28.08.2007 22:22 0 Upd25.tmp
27.08.2007 19:55 0 Upd24.tmp
26.08.2007 19:55 0 Upd23.tmp
25.08.2007 16:55 0 Upd22.tmp
24.08.2007 16:55 0 Upd21.tmp
23.08.2007 16:55 0 Upd20.tmp

Verzeichnis von C:\DOKUME~1\Gabriela\LOKALE~1\Temp

cosinus · 24.09.2007, 17:17

Zitat:

dann konnte ich für diese ganze Liste irgendwie nur die Option "rename" wählen.

Wichtig wäre zu wissen, ob versteckte Objekte/Prozesse gefunden wurden!
Poste das Blacklight-Logfile!

Trojaner "Virtumonde" und seine üblen Kumpane...

Plagegeister aller Art und deren Bekämpfung: Trojaner "Virtumonde" und seine üblen Kumpane...