Virtumonde

Melli04 · 25.06.2008, 16:19

Hi,

mein Avira stellt den Trojaner Virtumonde 25088 fest, bekommt ihn aber nicht gelöscht (Datei ddcaywxY.dll)

Hier das Logfile von Hijack This
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: (no name) - {C5E84927-CFF0-4CA3-A068-02E7C01C1E7C} - C:\WINDOWS\system32\ddcaywxY.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BMebed8dbb] Rundll32.exe "C:\WINDOWS\system32\plnvvyoc.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{72145F80-2286-43F3-B421-6BF441513833}: NameServer = 217.237.150.51 217.237.148.22
O20 - Winlogon Notify: ddcaywxY - C:\WINDOWS\SYSTEM32\ddcaywxY.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

**Sunny** · 25.06.2008, 16:20

Hallo Melli04 und

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Melli04 · 25.06.2008, 16:42

ComboFix 08-06-20.4 - Melli 2008-06-25 17:32:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.441 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Melli\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMebed8dbb.xml
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\AutoRun.inf
C:\WINDOWS\system32\dwvseptd.ini
C:\WINDOWS\system32\JiOXwyxx.ini
C:\WINDOWS\system32\JiOXwyxx.ini2
C:\WINDOWS\system32\ljJCRhET.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\TEhRCJjl.ini
C:\WINDOWS\system32\TEhRCJjl.ini2
C:\WINDOWS\system32\tpofoygx.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF

((((((((((((((((((((((( Dateien erstellt von 2008-05-25 bis 2008-06-25 ))))))))))))))))))))))))))))))
.

2008-06-25 17:36 . 2008-06-25 17:36 22 --a------ C:\WINDOWS\pskt.ini
2008-06-25 17:36 . 2008-06-25 17:36 0 --a------ C:\WINDOWS\BMebed8dbb.xml
2008-06-25 17:26 . 2008-06-25 17:26 <DIR> d-------- C:\Programme\CCleaner
2008-06-25 17:09 . 2008-06-25 17:09 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-25 17:09 . 2008-06-25 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\DoctorWeb
2008-06-25 16:55 . 2008-06-25 16:55 <DIR> d-------- C:\Dokumente und Einstellungen\Melli\DoctorWeb
2008-06-24 19:26 . 2008-06-24 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony Ericsson
2008-06-24 19:24 . 2007-04-21 16:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-24 19:24 . 2008-06-24 19:26 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-24 19:24 . 2008-06-25 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-06-24 19:09 . 2008-06-24 19:09 99,840 --a------ C:\WINDOWS\system32\hdjuxksy.dll
2008-06-24 19:09 . 2008-06-24 19:09 81,920 --a------ C:\WINDOWS\system32\dtpesvwd.dll
2008-06-23 07:14 . 2008-06-23 07:14 <DIR> d--hs---- C:\found.000
2008-06-22 17:18 . 2008-06-22 17:18 80,384 --a------ C:\WINDOWS\system32\xgyofopt.dll
2008-06-22 17:14 . 2008-06-22 17:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fitn17
2008-06-22 17:13 . 2008-06-22 17:13 <DIR> d-------- C:\games
2008-06-22 17:13 . 2008-06-22 17:13 25,088 --a------ C:\WINDOWS\system32\ddcaywxY.dll
2008-06-22 17:12 . 2008-06-22 17:13 <DIR> d-------- C:\WINDOWS\Fitness Frenzy
2008-06-22 13:22 . 2008-06-22 13:22 <DIR> d-------- C:\Programme\Safari Island Deluxe
2008-06-05 21:21 . 2008-06-05 21:21 <DIR> d-------- C:\Programme\Mystery PI The Vegas Heist
2008-06-05 18:47 . 2008-06-05 18:47 <DIR> d-------- C:\Programme\Dairy Dash
2008-06-01 08:17 . 2008-06-01 13:34 <DIR> d-------- C:\Programme\Doggie Dash
2008-05-31 10:17 . 2008-05-31 10:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-05-31 09:50 . 2008-05-31 09:50 24 --a------ C:\WINDOWS\AM_D8.PRF
2008-05-25 20:02 . 2008-05-25 20:03 <DIR> d-------- C:\Programme\Hide and Secret 2 - Cliffhanger Castle
2008-05-25 19:40 . 2008-05-25 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Games
2008-05-25 16:24 . 2008-05-25 16:24 <DIR> d-------- C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Friday's games

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 15:32 91,136 ----a-w C:\WINDOWS\system32\jwgyiqur.dll
2008-06-25 14:17 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\uTorrent
2008-06-24 18:20 --------- d-----w C:\Programme\Google
2008-06-23 16:03 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\ICQ
2008-06-13 13:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-06 07:35 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\GameHouse
2008-06-06 07:34 --------- d-----w C:\Programme\GameHouse
2008-06-05 16:48 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\PlayFirst
2008-06-05 16:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-05-31 09:05 --------- d-----w C:\Programme\DEUTSCHLAND SPIELT
2008-05-31 09:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Astar Games
2008-05-31 08:17 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-05-29 18:31 --------- d-----w C:\Programme\Videograbber
2008-05-25 15:37 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\AdobeUM
2008-05-23 12:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
2008-05-23 12:23 --------- d-----w C:\Programme\IncrediMail
2008-05-23 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
2008-05-22 21:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MonteCristo
2008-05-20 07:54 --------- d-----w C:\Programme\Turbo Subs
2008-05-20 07:54 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Oberon Games
2008-05-20 07:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oberon Games
2008-05-18 13:46 --------- d-----w C:\Programme\Mystery P.I. - The Lottery Ticket
2008-05-18 11:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpinTop Games
2008-05-17 18:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gogii
2008-05-10 06:33 --------- d-----w C:\Programme\Haunted Hotel
2008-05-10 06:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-08 15:50 --------- d-----w C:\Programme\Shareaza
2008-05-06 11:51 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Restorer
2008-05-05 14:17 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\ATI
2008-05-05 13:58 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\FarmingSimulator2008
2008-05-03 18:30 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\SprillBermudeDeu
2008-05-01 16:16 --------- d-----w C:\Programme\Sprill - Das Geheimnis des Bermuda dreiecks
2008-04-29 06:20 --------- d-----w C:\Programme\The Count of Monte Cristo
2008-04-26 06:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EscapeTheMuseum
2008-04-12 11:33 56,976 ----a-w C:\WINDOWS\system32\GenSvcInst.exe
2008-04-12 11:33 122,512 ----a-w C:\WINDOWS\system32\bgsvcgen.exe
2008-03-28 17:49 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-03-21 08:24 0 ----a-w C:\Programme\temp01
2007-07-03 16:56 774,144 ----a-w C:\Programme\RngInterstitial.dll
2007-05-12 12:17 22,032 ----a-w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}]
2008-06-22 17:13 25088 --a------ C:\WINDOWS\system32\ddcaywxY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"BMebed8dbb"="C:\WINDOWS\system32\jwgyiqur.dll" [2008-06-25 17:32 91136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}"= C:\WINDOWS\system32\ddcaywxY.dll [2008-06-22 17:13 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcaywxY]
ddcaywxY.dll 2008-06-22 17:13 25088 C:\WINDOWS\system32\ddcaywxY.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
--a------ 2008-05-18 19:44 243072 C:\Programme\IncrediMail\bin\IncMail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-05-31 10:17 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"D:\\Programme\\Anno 1701\\Anno1701.exe"=
"C:\\Programme\\Java\\jre1.5.0_09\\bin\\javaw.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5384:TCP"= 5384:TCP:core
"9851:TCP"= 9851:TCP:xmp

R0 Fasttrak;Fasttrak;C:\WINDOWS\system32\drivers\Fasttrak.sys [2001-11-22 15:08]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 20:22]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\system32\drivers\SSHDRV65.sys [2007-05-17 16:51]
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2001-10-25 14:42]
S3 genmcmn;Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gmfiltr.sys []
S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 16:54]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 16:54]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 16:54]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 16:54]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 16:54]
S3 s125bus;Sony Ericsson Device 125 driver (WDM);C:\WINDOWS\system32\DRIVERS\s125bus.sys [2007-04-24 12:33]
S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s125mdfl.sys [2007-04-24 12:33]
S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s125mdm.sys [2007-04-24 12:33]
S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s125mgmt.sys [2007-04-24 12:33]
S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s125obex.sys [2007-04-24 12:33]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 10:51]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 10:51]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 10:51]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 10:51]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 10:51]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 10:51]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 10:51]
S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2007-07-04 11:59]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 17:36:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\ddcaywxY.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\jwgyiqur.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-25 17:40:09 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-25 15:40:03

14 Verzeichnis(se), 8,532,439,040 Bytes frei
16 Verzeichnis(se), 8,502,525,952 Bytes frei

214 --- E O F --- 2008-04-19 19:17:54

**Sunny** · 25.06.2008, 16:48

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

http://www.trojaner-board.de/54730-virtumonde.html

Collect::
C:\WINDOWS\system32\hdjuxksy.dll
C:\WINDOWS\system32\dtpesvwd.dll
C:\WINDOWS\system32\xgyofopt.dll
C:\WINDOWS\system32\ddcaywxY.dll
C:\WINDOWS\system32\jwgyiqur.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BMebed8dbb"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcaywxY]

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

Melli04 · 25.06.2008, 17:05

ComboFix 08-06-20.4 - Melli 2008-06-25 17:56:39.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.441 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Melli\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Melli\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMebed8dbb.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\ddcaywxY.dll
C:\WINDOWS\system32\dtpesvwd.dll
C:\WINDOWS\system32\hdjuxksy.dll
C:\WINDOWS\system32\jwgyiqur.dll
C:\WINDOWS\system32\xgyofopt.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-25 bis 2008-06-25 ))))))))))))))))))))))))))))))
.

2008-06-25 17:26 . 2008-06-25 17:26 <DIR> d-------- C:\Programme\CCleaner
2008-06-25 17:09 . 2008-06-25 17:09 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-25 17:09 . 2008-06-25 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\DoctorWeb
2008-06-25 16:55 . 2008-06-25 16:55 <DIR> d-------- C:\Dokumente und Einstellungen\Melli\DoctorWeb
2008-06-24 19:26 . 2008-06-24 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony Ericsson
2008-06-24 19:24 . 2007-04-21 16:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-24 19:24 . 2008-06-25 17:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-24 19:24 . 2007-04-21 17:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-24 19:24 . 2008-06-24 19:26 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-24 19:24 . 2008-06-25 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-06-23 07:14 . 2008-06-23 07:14 <DIR> d--hs---- C:\found.000
2008-06-22 17:14 . 2008-06-22 17:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fitn17
2008-06-22 17:13 . 2008-06-22 17:13 <DIR> d-------- C:\games
2008-06-22 17:12 . 2008-06-22 17:13 <DIR> d-------- C:\WINDOWS\Fitness Frenzy
2008-06-22 13:22 . 2008-06-22 13:22 <DIR> d-------- C:\Programme\Safari Island Deluxe
2008-06-05 21:21 . 2008-06-05 21:21 <DIR> d-------- C:\Programme\Mystery PI The Vegas Heist
2008-06-05 18:47 . 2008-06-05 18:47 <DIR> d-------- C:\Programme\Dairy Dash
2008-06-01 08:17 . 2008-06-01 13:34 <DIR> d-------- C:\Programme\Doggie Dash
2008-05-31 10:17 . 2008-05-31 10:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-05-31 09:50 . 2008-05-31 09:50 24 --a------ C:\WINDOWS\AM_D8.PRF
2008-05-25 20:02 . 2008-05-25 20:03 <DIR> d-------- C:\Programme\Hide and Secret 2 - Cliffhanger Castle
2008-05-25 19:40 . 2008-05-25 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Games
2008-05-25 16:24 . 2008-05-25 16:24 <DIR> d-------- C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Friday's games

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 14:17 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\uTorrent
2008-06-24 18:20 --------- d-----w C:\Programme\Google
2008-06-23 16:03 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\ICQ
2008-06-13 13:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-06 07:35 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\GameHouse
2008-06-06 07:34 --------- d-----w C:\Programme\GameHouse
2008-06-05 16:48 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\PlayFirst
2008-06-05 16:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-05-31 09:05 --------- d-----w C:\Programme\DEUTSCHLAND SPIELT
2008-05-31 09:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Astar Games
2008-05-31 08:17 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-05-29 18:31 --------- d-----w C:\Programme\Videograbber
2008-05-25 15:37 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\AdobeUM
2008-05-23 12:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
2008-05-23 12:23 --------- d-----w C:\Programme\IncrediMail
2008-05-23 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
2008-05-22 21:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MonteCristo
2008-05-20 07:54 --------- d-----w C:\Programme\Turbo Subs
2008-05-20 07:54 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Oberon Games
2008-05-20 07:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oberon Games
2008-05-18 13:46 --------- d-----w C:\Programme\Mystery P.I. - The Lottery Ticket
2008-05-18 11:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpinTop Games
2008-05-17 18:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gogii
2008-05-10 06:33 --------- d-----w C:\Programme\Haunted Hotel
2008-05-10 06:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-08 15:50 --------- d-----w C:\Programme\Shareaza
2008-05-06 11:51 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Restorer
2008-05-05 14:17 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\ATI
2008-05-05 13:58 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\FarmingSimulator2008
2008-05-03 18:30 --------- d-----w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\SprillBermudeDeu
2008-05-01 16:16 --------- d-----w C:\Programme\Sprill - Das Geheimnis des Bermuda dreiecks
2008-04-29 06:20 --------- d-----w C:\Programme\The Count of Monte Cristo
2008-04-26 06:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EscapeTheMuseum
2008-04-12 11:33 56,976 ----a-w C:\WINDOWS\system32\GenSvcInst.exe
2008-04-12 11:33 122,512 ----a-w C:\WINDOWS\system32\bgsvcgen.exe
2008-03-28 17:49 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-03-21 08:24 0 ----a-w C:\Programme\temp01
2007-07-03 16:56 774,144 ----a-w C:\Programme\RngInterstitial.dll
2007-05-12 12:17 22,032 ----a-w C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-06-25_17.39.46.73 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-25 15:35:49 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-25 15:59:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
--a------ 2008-05-18 19:44 243072 C:\Programme\IncrediMail\bin\IncMail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-05-31 10:17 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"D:\\Programme\\Anno 1701\\Anno1701.exe"=
"C:\\Programme\\Java\\jre1.5.0_09\\bin\\javaw.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5384:TCP"= 5384:TCP:core
"9851:TCP"= 9851:TCP:xmp

R0 Fasttrak;Fasttrak;C:\WINDOWS\system32\drivers\Fasttrak.sys [2001-11-22 15:08]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 20:22]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\system32\drivers\SSHDRV65.sys [2007-05-17 16:51]
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2001-10-25 14:42]
S3 genmcmn;Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gmfiltr.sys []
S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 16:54]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 16:54]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 16:54]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 16:54]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 16:54]
S3 s125bus;Sony Ericsson Device 125 driver (WDM);C:\WINDOWS\system32\DRIVERS\s125bus.sys [2007-04-24 12:33]
S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s125mdfl.sys [2007-04-24 12:33]
S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s125mdm.sys [2007-04-24 12:33]
S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s125mgmt.sys [2007-04-24 12:33]
S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s125obex.sys [2007-04-24 12:33]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 10:51]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 10:51]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 10:51]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 10:51]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 10:51]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 10:51]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 10:51]
S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2007-07-04 11:59]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 17:59:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-25 18:03:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-25 16:03:11
ComboFix2.txt 2008-06-25 15:40:10

13 Verzeichnis(se), 8,481,546,240 Bytes frei
15 Verzeichnis(se), 8,470,953,984 Bytes frei

192 --- E O F --- 2008-04-19 19:17:54

**Sunny** · 25.06.2008, 17:25

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Das sieht schon mal sehr gut aus.

Nun noch den Scan mit Malwarebytes durchführen und fertig.

Melli04 · 25.06.2008, 18:21

Huhu,

vielen vielen Dank.

Es ist geschafft

Bin echt froh das es Euch gibt

LG
Melli

**Sunny** · 25.06.2008, 18:24

Bevor du gehst, kopiere doch noch schnell den Report von Malwarebytes hierrein.

Dann bist du entlassen.

Melli04 · 25.06.2008, 18:28

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 890

19:07:11 25.06.2008
mbam-log-6-25-2008 (19-07-11).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 128810
Scan Dauer: 58 minute(s), 43 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-191155-834.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-191239-205.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-192247-706.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-192654-956.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-192709-902.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-192813-695.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080624-192813-962.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Melli\Desktop\hijackthis_199\backups\backup-20080625-162350-962.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ljJCRhET.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5F56748B-5D6B-4B03-9145-5326E9C747CF}\RP2\A0000008.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

**Sunny** · 25.06.2008, 18:29

Sieht sehr gut aus

, jetzt darfst du gehen...

Melli04 · 25.06.2008, 18:32

Dankeeeeeeeeeeeeeeeeeeeeeeee

25.06.2008, 17:25	#6
Sunny Administrator > Competence Manager	Virtumonde Combofix Deinstallieren Klick auf Start -> Ausführen -> eintippen combofix /U Damit ist Combofix und alle weiteren Programme entfernt wurden. Das sieht schon mal sehr gut aus. Nun noch den Scan mit Malwarebytes durchführen und fertig. __________________ --> Virtumonde

25.06.2008, 18:24	#8
Sunny Administrator > Competence Manager	Virtumonde Bevor du gehst, kopiere doch noch schnell den Report von Malwarebytes hierrein. Dann bist du entlassen. __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

25.06.2008, 18:29	#10
Sunny Administrator > Competence Manager	Virtumonde Sieht sehr gut aus , jetzt darfst du gehen... __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

Virtumonde

Log-Analyse und Auswertung: Virtumonde

Virtumonde

Virtumonde

Virtumonde

Virtumonde

Virtumonde

Virtumonde

Virtumonde

Virtumonde

Virtumonde

Virtumonde

Virtumonde

Ähnliche Themen: Virtumonde

25.06.2008, 18:21	#7
Melli04	Virtumonde Huhu, vielen vielen Dank. Es ist geschafft Bin echt froh das es Euch gibt LG Melli

25.06.2008, 18:32	#11
Melli04	Virtumonde Dankeeeeeeeeeeeeeeeeeeeeeeee