| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hilfe Virtumonde macht mich noch wuschig!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.05.2008, 17:29
| #2 |
 |  Hilfe Virtumonde macht mich noch wuschig!! ComboFix 08-05-12.1 - Christian 2008-05-15 16:52:53.1 - NTFSx86
__________________Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.312 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\bobsaver.exe C:\WINDOWS\bobsaver.scr C:\WINDOWS\cookies.ini C:\WINDOWS\pskt.ini C:\WINDOWS\regedit.com C:\WINDOWS\system32\BbHOVvut.ini C:\WINDOWS\system32\BbHOVvut.ini2 C:\WINDOWS\system32\blvsbgtj.ini C:\WINDOWS\system32\DJTsBcfe.ini C:\WINDOWS\system32\DJTsBcfe.ini2 C:\WINDOWS\system32\fgNTstwa.ini C:\WINDOWS\system32\fgNTstwa.ini2 C:\WINDOWS\system32\ntrvlgei.ini C:\WINDOWS\system32\oledb32.dll C:\WINDOWS\system32\pklmhjej.ini C:\WINDOWS\system32\taskmgr.com C:\WINDOWS\system32\TCKloUtv.ini C:\WINDOWS\system32\TCKloUtv.ini2 . ((((((((((((((((((((((( Dateien erstellt von 2008-04-15 bis 2008-05-15 )))))))))))))))))))))))))))))) . 2008-05-15 13:41 . 2008-05-15 13:41 <DIR> d-------- C:\Programme\Enigma Software Group 2008-05-15 00:48 . 2008-05-15 00:48 133,184 --a------ C:\WINDOWS\system32\tqmexwbn.dll 2008-05-15 00:42 . 2008-05-15 00:42 126,528 --a------ C:\WINDOWS\system32\sthxanbh.dll 2008-05-15 00:42 . 2008-05-15 00:42 114,752 --a------ C:\WINDOWS\system32\ieglvrtn.dll 2008-05-14 00:41 . 2008-05-14 00:41 133,696 --------- C:\WINDOWS\system32\ddjacpau.dll_old 2008-05-14 00:41 . 2008-05-14 00:41 114,240 --a------ C:\WINDOWS\system32\jtgbsvlb.dll 2008-05-14 00:40 . 2008-05-14 00:40 371,200 --a------ C:\WINDOWS\system32\awtsTNgf.dll 2008-05-13 16:30 . 2008-05-13 16:30 <DIR> d-------- C:\VundoFix Backups 2008-05-13 02:28 . 2008-05-13 02:28 132,096 --a------ C:\WINDOWS\system32\bfspflht.dll 2008-05-13 02:22 . 2008-05-13 02:22 125,952 --a------ C:\WINDOWS\system32\fkjtnnrl.dll 2008-05-13 02:22 . 2008-05-15 16:08 109,803 --a------ C:\WINDOWS\BM43bdb2c7.xml 2008-05-12 14:13 . 2008-05-12 14:13 57,344 --a------ C:\WINDOWS\system32\xxyxVmjG.dll 2008-05-11 15:20 . 2008-05-11 15:20 <DIR> d-------- C:\WINDOWS\Hidden Mysteries - Civil War 2008-05-09 13:13 . 2008-05-10 12:35 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Restorer 2008-05-04 17:18 . 2008-05-04 18:11 8 --a------ C:\WINDOWS\helpfull1.INI 2008-04-27 12:23 . 2008-04-27 12:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gogii 2008-04-23 20:06 . 2008-04-23 20:06 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-04-23 20:06 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-04-22 22:50 . 2008-04-22 22:50 <DIR> d-------- C:\Programme\ReflexiveArcade 2008-04-22 18:08 . 2008-04-22 18:08 <DIR> d-------- C:\WINDOWS\Finders Keepers . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-12 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2008-05-11 12:58 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-04-23 19:49 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll 2008-04-23 18:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EscapeTheMuseum 2008-04-23 17:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst 2008-04-23 14:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-04-22 14:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\JollyBear 2008-04-19 15:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sandlot Games 2008-04-18 13:57 --------- d-----w C:\Programme\bfgclient 2008-04-17 13:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-04-15 15:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-04-13 14:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fugazo 2008-04-06 20:16 --------- d-----w C:\Programme\MSXML 4.0 2008-04-06 12:15 0 ----a-w C:\Programme\temp01 2008-04-06 12:09 --------- d-----w C:\Programme\Teledat USB 2 ab 2008-04-04 14:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Go Go Gourmet 2008-04-04 12:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MonteCristo 2008-04-02 15:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oberon Games 2008-04-02 14:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Astar Games 2008-04-02 13:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QB9 S.R.L 2008-04-02 12:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grey Alien Games 2008-04-01 13:33 --------- d-----w C:\Programme\Java 2008-03-29 17:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Flood Light Games 2008-03-29 13:25 --------- d-----w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Ludia 2008-03-29 13:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ludia 2008-03-27 13:50 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2004-03-11 12:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{013E812E-7967-4A18-A9DA-60D7D73988ED}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{139E3A6B-7F82-493B-9D45-8DDBBC31CD40}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{21D04DC8-4674-46A3-85E0-904952801B01}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6C23AB0C-0244-4B01-8253-BEE724D0D2EC}] 2008-05-12 14:13 57344 --a------ C:\WINDOWS\system32\xxyxVmjG.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A6394AFA-604D-4A38-B62D-D83D4A88C48E}] 2008-05-14 00:40 371200 --a------ C:\WINDOWS\system32\awtsTNgf.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C3AA25CD-1DCA-4656-BCF2-D3527A19871F}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360] "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 13:50 1289000] "SpybotSD TeaTimer"="E:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 13:50 155648] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 22:10 344064] "MPFExe"="C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" [2003-10-31 13:20 1048576] "CHotkey"="mHotkey.exe" [2003-06-27 16:39 506368 C:\WINDOWS\mHotkey.exe] "ledpointer"="CNYHKey.exe" [2003-06-27 10:36 5798912 C:\WINDOWS\CNYHKey.exe] "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 16:57 133016] "AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 14:42 70952] "HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1174285789\ee\AOLSoftware.exe" [2006-11-17 15:16 50736] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112] "AVK Mail Checker"="C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" [2005-02-28 09:28 364544] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "408e815b"="C:\WINDOWS\system32\jejhmlkp.dll" [ ] "BM43bdb2c7"="C:\WINDOWS\system32\sthxanbh.dll" [2008-05-15 00:42 126528] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{6C23AB0C-0244-4B01-8253-BEE724D0D2EC}"= C:\WINDOWS\system32\xxyxVmjG.dll [2008-05-12 14:13 57344] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyxVmjG] xxyxVmjG.dll 2008-05-12 14:13 57344 C:\WINDOWS\system32\xxyxVmjG.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.CDVC"= cdvccodc.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "TUWinStylerThemeSvc"=3 (0x3) "Pml Driver HPZ12"=3 (0x3) "IDriverT"=3 (0x3) "Boonty Games"=3 (0x3) "AVKService"=2 (0x2) "Ati HotKey Poller"=2 (0x2) "AOLService"=2 (0x2) "AOL ACS"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Shareaza"="C:\Programme\Shareaza\Shareaza.exe" -tray "AVKBar"="C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKBar.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "CloneCDTray"="C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" "CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL "AOL Spyware Protection"="C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe" "AVK Mail Checker"="C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\AOL 9.0\\waol.exe"= "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPop.exe"= C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPop.exe:127.0.0.1/255.255.255.255:Enabled:G DATA AntiVirenKit eMail Virenblocker "C:\\Programme\\AOL 9.0a\\waol.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"= "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\Gemeinsame Dateien\\aol\\1174285789\\ee\\aolsoftware.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43] R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2006-03-06 09:44] R2 AVKService;AVK Service;C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe [] R2 AVKWCtl;G DATA AntiVirenKit Wächter;C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe [] R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 02:00] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:58] R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-06-09 02:00] R3 fxusbase;Teledat USB 2 a/b (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-06-09 02:00] R3 GDInterceptor;GDInterceptor;C:\WINDOWS\system32\interceptor.sys [2005-04-18 15:18] R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2007-09-28 14:37] S2 Ca533av;Mega-Image III Video Camera Device;C:\WINDOWS\system32\Drivers\211video.sys [2003-03-06 13:39] S3 AVMUNET;AVM FRITZ! Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-03-11 01:00] S3 AVMWAN;NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-11-27 02:00] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-23 20:06] S3 USBCamera;Mega-Image III Still Camera Device;C:\WINDOWS\system32\Drivers\211Bulk.sys [2003-01-27 11:56] S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2006-02-20 19:18] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2008-05-15 15:02:16 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - E:\Programme\Tuneup2008\OneClickStarter.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-15 17:04:33 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\xxyxVmjG.dll PROCESS: C:\WINDOWS\explorer.exe -> C:\WINDOWS\system32\sthxanbh.dll . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe C:\WINDOWS\system32\oodag.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\McAfee.com\Personal Firewall\MpfTray.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Microsoft ActiveSync\rapimgr.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-15 17:11:06 - machine was rebooted [Christian] ComboFix-quarantined-files.txt 2008-05-15 15:10:34 10 Verzeichnis(se), 507,498,496 Bytes frei 12 Verzeichnis(se), 534,515,712 Bytes frei 224 --- E O F --- 2008-04-16 22:38:08 |
| Themen zu Hilfe Virtumonde macht mich noch wuschig!! |
| ad-aware, adobe, combofix, dateien, download, drivers, explorer, firewall, g data, helfen, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfiles, messenger, micro, microsoft, obfuscated, object, programme, rundll, senden, system, system32, tuneup.defrag, urlsearchhook, virtumonde, windows, windows xp, windows\system32\drivers |
Baum-Darstellung