Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virtumonde

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 25.06.2008, 16:19   #1
Melli04
 
Virtumonde - Standard

Virtumonde



Hi,

mein Avira stellt den Trojaner Virtumonde 25088 fest, bekommt ihn aber nicht gelöscht (Datei ddcaywxY.dll)

Hier das Logfile von Hijack This
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: (no name) - {C5E84927-CFF0-4CA3-A068-02E7C01C1E7C} - C:\WINDOWS\system32\ddcaywxY.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BMebed8dbb] Rundll32.exe "C:\WINDOWS\system32\plnvvyoc.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{72145F80-2286-43F3-B421-6BF441513833}: NameServer = 217.237.150.51 217.237.148.22
O20 - Winlogon Notify: ddcaywxY - C:\WINDOWS\SYSTEM32\ddcaywxY.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

Alt 25.06.2008, 16:20   #2
Sunny
Administrator
> Competence Manager
 

Virtumonde - Standard

Virtumonde



Hallo Melli04 und




ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________

__________________

Alt 25.06.2008, 16:42   #3
Melli04
 
Virtumonde - Standard

Virtumonde



ComboFix 08-06-20.4 - Melli 2008-06-25 17:32:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.441 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Melli\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMebed8dbb.xml
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\AutoRun.inf
C:\WINDOWS\system32\dwvseptd.ini
C:\WINDOWS\system32\JiOXwyxx.ini
C:\WINDOWS\system32\JiOXwyxx.ini2
C:\WINDOWS\system32\ljJCRhET.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\TEhRCJjl.ini
C:\WINDOWS\system32\TEhRCJjl.ini2
C:\WINDOWS\system32\tpofoygx.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-05-25 bis 2008-06-25 ))))))))))))))))))))))))))))))
.

2008-06-25 17:36 . 2008-06-25 17:36 22 --a------ C:\WINDOWS\pskt.ini
2008-06-25 17:36 . 2008-06-25 17:36 0 --a------ C:\WINDOWS\BMebed8dbb.xml
2008-06-25 17:26 . 2008-06-25 17:26 <DIR> d-------- C:\Programme\CCleaner
2008-06-25 17:09 . 2008-06-25 17:09 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-25 17:09 . 2008-06-25 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\DoctorWeb
2008-06-25 16:55 . 2008-06-25 16:55 <DIR> d-------- C:\Dokumente und Einstellungen\Melli\DoctorWeb
2008-06-24 19:26 . 2008-06-24 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony Ericsson
2008-06-24 19:24 . 2007-04-21 16:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-24 19:24 . 2008-06-24 19:26 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-24 19:24 . 2008-06-25 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-06-24 19:09 . 2008-06-24 19:09 99,840 --a------ C:\WINDOWS\system32\hdjuxksy.dll
2008-06-24 19:09 . 2008-06-24 19:09 81,920 --a------ C:\WINDOWS\system32\dtpesvwd.dll
2008-06-23 07:14 . 2008-06-23 07:14 <DIR> d--hs---- C:\found.000
2008-06-22 17:18 . 2008-06-22 17:18 80,384 --a------ C:\WINDOWS\system32\xgyofopt.dll
2008-06-22 17:14 . 2008-06-22 17:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fitn17
2008-06-22 17:13 . 2008-06-22 17:13 <DIR> d-------- C:\games
2008-06-22 17:13 . 2008-06-22 17:13 25,088 --a------ C:\WINDOWS\system32\ddcaywxY.dll
2008-06-22 17:12 . 2008-06-22 17:13 <DIR> d-------- C:\WINDOWS\Fitness Frenzy
2008-06-22 13:22 . 2008-06-22 13:22 <DIR> d-------- C:\Programme\Safari Island Deluxe
2008-06-05 21:21 . 2008-06-05 21:21 <DIR> d-------- C:\Programme\Mystery PI The Vegas Heist
2008-06-05 18:47 . 2008-06-05 18:47 <DIR> d-------- C:\Programme\Dairy Dash
2008-06-01 08:17 . 2008-06-01 13:34 <DIR> d-------- C:\Programme\Doggie Dash
2008-05-31 10:17 . 2008-05-31 10:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-05-31 09:50 . 2008-05-31 09:50 24 --a------ C:\WINDOWS\AM_D8.PRF
2008-05-25 20:02 . 2008-05-25 20:03 <DIR> d-------- C:\Programme\Hide and Secret 2 - Cliffhanger Castle
2008-05-25 19:40 . 2008-05-25 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Games
2008-05-25 16:24 . 2008-05-25 16:24 <DIR> d-------- C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Friday's games

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 15:32 91,136 ----a-w C:\WINDOWS\system32\jwgyiqur.dll
2008-06-25 14:17 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\uTorrent
2008-06-24 18:20 --------- d-----w C:\Programme\Google
2008-06-23 16:03 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\ICQ
2008-06-13 13:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-06 07:35 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\GameHouse
2008-06-06 07:34 --------- d-----w C:\Programme\GameHouse
2008-06-05 16:48 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\PlayFirst
2008-06-05 16:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-05-31 09:05 --------- d-----w C:\Programme\DEUTSCHLAND SPIELT
2008-05-31 09:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Astar Games
2008-05-31 08:17 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-05-29 18:31 --------- d-----w C:\Programme\Videograbber
2008-05-25 15:37 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\AdobeUM
2008-05-23 12:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
2008-05-23 12:23 --------- d-----w C:\Programme\IncrediMail
2008-05-23 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
2008-05-22 21:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MonteCristo
2008-05-20 07:54 --------- d-----w C:\Programme\Turbo Subs
2008-05-20 07:54 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Oberon Games
2008-05-20 07:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oberon Games
2008-05-18 13:46 --------- d-----w C:\Programme\Mystery P.I. - The Lottery Ticket
2008-05-18 11:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpinTop Games
2008-05-17 18:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gogii
2008-05-10 06:33 --------- d-----w C:\Programme\Haunted Hotel
2008-05-10 06:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-08 15:50 --------- d-----w C:\Programme\Shareaza
2008-05-06 11:51 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Restorer
2008-05-05 14:17 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\ATI
2008-05-05 13:58 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\FarmingSimulator2008
2008-05-03 18:30 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\SprillBermudeDeu
2008-05-01 16:16 --------- d-----w C:\Programme\Sprill - Das Geheimnis des Bermuda dreiecks
2008-04-29 06:20 --------- d-----w C:\Programme\The Count of Monte Cristo
2008-04-26 06:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EscapeTheMuseum
2008-04-12 11:33 56,976 ----a-w C:\WINDOWS\system32\GenSvcInst.exe
2008-04-12 11:33 122,512 ----a-w C:\WINDOWS\system32\bgsvcgen.exe
2008-03-28 17:49 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-03-21 08:24 0 ----a-w C:\Programme\temp01
2007-07-03 16:56 774,144 ----a-w C:\Programme\RngInterstitial.dll
2007-05-12 12:17 22,032 ----a-w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}]
2008-06-22 17:13 25088 --a------ C:\WINDOWS\system32\ddcaywxY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"BMebed8dbb"="C:\WINDOWS\system32\jwgyiqur.dll" [2008-06-25 17:32 91136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}"= C:\WINDOWS\system32\ddcaywxY.dll [2008-06-22 17:13 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcaywxY]
ddcaywxY.dll 2008-06-22 17:13 25088 C:\WINDOWS\system32\ddcaywxY.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
--a------ 2008-05-18 19:44 243072 C:\Programme\IncrediMail\bin\IncMail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-05-31 10:17 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"D:\\Programme\\Anno 1701\\Anno1701.exe"=
"C:\\Programme\\Java\\jre1.5.0_09\\bin\\javaw.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5384:TCP"= 5384:TCP:core
"9851:TCP"= 9851:TCP:xmp

R0 Fasttrak;Fasttrak;C:\WINDOWS\system32\drivers\Fasttrak.sys [2001-11-22 15:08]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 20:22]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\system32\drivers\SSHDRV65.sys [2007-05-17 16:51]
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2001-10-25 14:42]
S3 genmcmn;Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gmfiltr.sys []
S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 16:54]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 16:54]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 16:54]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 16:54]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 16:54]
S3 s125bus;Sony Ericsson Device 125 driver (WDM);C:\WINDOWS\system32\DRIVERS\s125bus.sys [2007-04-24 12:33]
S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s125mdfl.sys [2007-04-24 12:33]
S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s125mdm.sys [2007-04-24 12:33]
S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s125mgmt.sys [2007-04-24 12:33]
S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s125obex.sys [2007-04-24 12:33]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 10:51]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 10:51]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 10:51]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 10:51]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 10:51]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 10:51]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 10:51]
S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2007-07-04 11:59]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 17:36:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\ddcaywxY.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\jwgyiqur.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-25 17:40:09 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-25 15:40:03

14 Verzeichnis(se), 8,532,439,040 Bytes frei
16 Verzeichnis(se), 8,502,525,952 Bytes frei

214 --- E O F --- 2008-04-19 19:17:54
__________________

Alt 25.06.2008, 16:48   #4
Sunny
Administrator
> Competence Manager
 

Virtumonde - Standard

Virtumonde



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
http://www.trojaner-board.de/54730-virtumonde.html

Collect::
C:\WINDOWS\system32\hdjuxksy.dll
C:\WINDOWS\system32\dtpesvwd.dll
C:\WINDOWS\system32\xgyofopt.dll
C:\WINDOWS\system32\ddcaywxY.dll
C:\WINDOWS\system32\jwgyiqur.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BMebed8dbb"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcaywxY]
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann




Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 25.06.2008, 17:05   #5
Melli04
 
Virtumonde - Standard

Virtumonde



ComboFix 08-06-20.4 - Melli 2008-06-25 17:56:39.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.441 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Melli\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Melli\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMebed8dbb.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\ddcaywxY.dll
C:\WINDOWS\system32\dtpesvwd.dll
C:\WINDOWS\system32\hdjuxksy.dll
C:\WINDOWS\system32\jwgyiqur.dll
C:\WINDOWS\system32\xgyofopt.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-25 bis 2008-06-25 ))))))))))))))))))))))))))))))
.

2008-06-25 17:26 . 2008-06-25 17:26 <DIR> d-------- C:\Programme\CCleaner
2008-06-25 17:09 . 2008-06-25 17:09 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-25 17:09 . 2008-06-25 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\DoctorWeb
2008-06-25 16:55 . 2008-06-25 16:55 <DIR> d-------- C:\Dokumente und Einstellungen\Melli\DoctorWeb
2008-06-24 19:26 . 2008-06-24 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony Ericsson
2008-06-24 19:24 . 2007-04-21 16:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-24 19:24 . 2008-06-25 17:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-24 19:24 . 2008-06-24 19:26 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-24 19:24 . 2008-06-25 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-06-23 07:14 . 2008-06-23 07:14 <DIR> d--hs---- C:\found.000
2008-06-22 17:14 . 2008-06-22 17:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fitn17
2008-06-22 17:13 . 2008-06-22 17:13 <DIR> d-------- C:\games
2008-06-22 17:12 . 2008-06-22 17:13 <DIR> d-------- C:\WINDOWS\Fitness Frenzy
2008-06-22 13:22 . 2008-06-22 13:22 <DIR> d-------- C:\Programme\Safari Island Deluxe
2008-06-05 21:21 . 2008-06-05 21:21 <DIR> d-------- C:\Programme\Mystery PI The Vegas Heist
2008-06-05 18:47 . 2008-06-05 18:47 <DIR> d-------- C:\Programme\Dairy Dash
2008-06-01 08:17 . 2008-06-01 13:34 <DIR> d-------- C:\Programme\Doggie Dash
2008-05-31 10:17 . 2008-05-31 10:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-05-31 09:50 . 2008-05-31 09:50 24 --a------ C:\WINDOWS\AM_D8.PRF
2008-05-25 20:02 . 2008-05-25 20:03 <DIR> d-------- C:\Programme\Hide and Secret 2 - Cliffhanger Castle
2008-05-25 19:40 . 2008-05-25 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Games
2008-05-25 16:24 . 2008-05-25 16:24 <DIR> d-------- C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Friday's games

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 14:17 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\uTorrent
2008-06-24 18:20 --------- d-----w C:\Programme\Google
2008-06-23 16:03 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\ICQ
2008-06-13 13:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-06 07:35 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\GameHouse
2008-06-06 07:34 --------- d-----w C:\Programme\GameHouse
2008-06-05 16:48 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\PlayFirst
2008-06-05 16:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-05-31 09:05 --------- d-----w C:\Programme\DEUTSCHLAND SPIELT
2008-05-31 09:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Astar Games
2008-05-31 08:17 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-05-29 18:31 --------- d-----w C:\Programme\Videograbber
2008-05-25 15:37 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\AdobeUM
2008-05-23 12:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
2008-05-23 12:23 --------- d-----w C:\Programme\IncrediMail
2008-05-23 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
2008-05-22 21:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MonteCristo
2008-05-20 07:54 --------- d-----w C:\Programme\Turbo Subs
2008-05-20 07:54 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Oberon Games
2008-05-20 07:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oberon Games
2008-05-18 13:46 --------- d-----w C:\Programme\Mystery P.I. - The Lottery Ticket
2008-05-18 11:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpinTop Games
2008-05-17 18:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gogii
2008-05-10 06:33 --------- d-----w C:\Programme\Haunted Hotel
2008-05-10 06:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-08 15:50 --------- d-----w C:\Programme\Shareaza
2008-05-06 11:51 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Restorer
2008-05-05 14:17 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\ATI
2008-05-05 13:58 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\FarmingSimulator2008
2008-05-03 18:30 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\SprillBermudeDeu
2008-05-01 16:16 --------- d-----w C:\Programme\Sprill - Das Geheimnis des Bermuda dreiecks
2008-04-29 06:20 --------- d-----w C:\Programme\The Count of Monte Cristo
2008-04-26 06:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EscapeTheMuseum
2008-04-12 11:33 56,976 ----a-w C:\WINDOWS\system32\GenSvcInst.exe
2008-04-12 11:33 122,512 ----a-w C:\WINDOWS\system32\bgsvcgen.exe
2008-03-28 17:49 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-03-21 08:24 0 ----a-w C:\Programme\temp01
2007-07-03 16:56 774,144 ----a-w C:\Programme\RngInterstitial.dll
2007-05-12 12:17 22,032 ----a-w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-06-25_17.39.46.73 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-25 15:35:49 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-25 15:59:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
--a------ 2008-05-18 19:44 243072 C:\Programme\IncrediMail\bin\IncMail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-05-31 10:17 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"D:\\Programme\\Anno 1701\\Anno1701.exe"=
"C:\\Programme\\Java\\jre1.5.0_09\\bin\\javaw.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5384:TCP"= 5384:TCP:core
"9851:TCP"= 9851:TCP:xmp

R0 Fasttrak;Fasttrak;C:\WINDOWS\system32\drivers\Fasttrak.sys [2001-11-22 15:08]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 20:22]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\system32\drivers\SSHDRV65.sys [2007-05-17 16:51]
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2001-10-25 14:42]
S3 genmcmn;Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gmfiltr.sys []
S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 16:54]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 16:54]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 16:54]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 16:54]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 16:54]
S3 s125bus;Sony Ericsson Device 125 driver (WDM);C:\WINDOWS\system32\DRIVERS\s125bus.sys [2007-04-24 12:33]
S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s125mdfl.sys [2007-04-24 12:33]
S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s125mdm.sys [2007-04-24 12:33]
S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s125mgmt.sys [2007-04-24 12:33]
S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s125obex.sys [2007-04-24 12:33]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 10:51]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 10:51]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 10:51]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 10:51]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 10:51]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 10:51]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 10:51]
S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2007-07-04 11:59]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 17:59:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-25 18:03:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-25 16:03:11
ComboFix2.txt 2008-06-25 15:40:10

13 Verzeichnis(se), 8,481,546,240 Bytes frei
15 Verzeichnis(se), 8,470,953,984 Bytes frei

192 --- E O F --- 2008-04-19 19:17:54


Alt 25.06.2008, 17:25   #6
Sunny
Administrator
> Competence Manager
 

Virtumonde - Standard

Virtumonde




Combofix Deinstallieren


Klick auf Start -> Ausführen -> eintippen combofix /U



Damit ist Combofix und alle weiteren Programme entfernt wurden.


Das sieht schon mal sehr gut aus.

Nun noch den Scan mit Malwarebytes durchführen und fertig.
__________________
--> Virtumonde

Alt 25.06.2008, 18:21   #7
Melli04
 
Virtumonde - Standard

Virtumonde



Huhu,

vielen vielen Dank.

Es ist geschafft

Bin echt froh das es Euch gibt

LG
Melli

Alt 25.06.2008, 18:24   #8
Sunny
Administrator
> Competence Manager
 

Virtumonde - Standard

Virtumonde



Bevor du gehst, kopiere doch noch schnell den Report von Malwarebytes hierrein.

Dann bist du entlassen.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 25.06.2008, 18:28   #9
Melli04
 
Virtumonde - Standard

Virtumonde



Malwarebytes' Anti-Malware 1.18
Datenbank Version: 890

19:07:11 25.06.2008
mbam-log-6-25-2008 (19-07-11).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 128810
Scan Dauer: 58 minute(s), 43 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-191155-834.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-191239-205.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-192247-706.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-192654-956.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-192709-902.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-192813-695.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-192813-962.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080625-162350-962.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ljJCRhET.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5F56748B-5D6B-4B03-9145-5326E9C747CF}\RP2\A0000008.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

Alt 25.06.2008, 18:29   #10
Sunny
Administrator
> Competence Manager
 

Virtumonde - Standard

Virtumonde



Sieht sehr gut aus , jetzt darfst du gehen...
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 25.06.2008, 18:32   #11
Melli04
 
Virtumonde - Standard

Virtumonde



Dankeeeeeeeeeeeeeeeeeeeeeeee

Antwort

Themen zu Virtumonde
ad-aware, antivir, avira, bho, boot, datei, desktop, einstellungen, gelöscht, gen, hijack, hijack this, hijackthis, hotkey, internet, internet explorer, logfile, programme, rundll, rundll32.exe, system, system32, trojaner, virtumonde, windows




Ähnliche Themen: Virtumonde


  1. Virtumonde :(
    Plagegeister aller Art und deren Bekämpfung - 01.03.2009 (4)
  2. Virtumonde
    Plagegeister aller Art und deren Bekämpfung - 30.01.2009 (0)
  3. Virtumonde
    Log-Analyse und Auswertung - 21.01.2009 (14)
  4. Virtumonde/Virtumonde.prx nicht entfernbar !!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2009 (29)
  5. Smitfraud C, virtumonde, virtumonde generic
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (11)
  6. Virtumonde und Co...?
    Log-Analyse und Auswertung - 07.01.2009 (2)
  7. Virtumonde
    Plagegeister aller Art und deren Bekämpfung - 06.01.2009 (6)
  8. Virtumonde.prx und Virtumonde
    Mülltonne - 30.12.2008 (1)
  9. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  10. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  11. Spybot meldet Smitfraud-C. Virtumonde & Virtumonde.generic Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2008 (1)
  12. Virtumonde.prx
    Log-Analyse und Auswertung - 05.12.2008 (2)
  13. Smitfraud-C. & Virtumonde & Virtumonde.generic
    Log-Analyse und Auswertung - 01.12.2008 (7)
  14. Smitfraud-C./Virtumonde/Virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 25.11.2008 (22)
  15. Virtumonde.dll
    Plagegeister aller Art und deren Bekämpfung - 17.06.2008 (6)
  16. Virtumonde
    Plagegeister aller Art und deren Bekämpfung - 25.05.2008 (17)
  17. Virtumonde
    Mülltonne - 29.10.2007 (0)

Zum Thema Virtumonde - Hi, mein Avira stellt den Trojaner Virtumonde 25088 fest, bekommt ihn aber nicht gelöscht (Datei ddcaywxY.dll) Hier das Logfile von Hijack This Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe - Virtumonde...
Archiv
Du betrachtest: Virtumonde auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.