Hallo,
Habe ein großes Problem den Trojaner virtumonde.25088 aus meinem System zu entfernen.
AntiVir hat Ihn heute gefunden.
Er befindet sich unter folgender Adresse: C:\WINDOWS\system32\qoMggEww.dll
Ich kenne mich da leider nicht so sehr aus.
Ich habe es lediglich mal mit dem Registry Cleaner versucht aber nach dem Neustart war er trotzdem noch da.

Deshalb nun meine Fragen:
Wie kann ich ihn zuverlässig beseitigen und was für Maßnahmen kann man ergreifen um sich vor so was zu schützen?
Antivirenprogramm und Firewalls helfen da offenbar nicht zu 100%.

Vielen Dank schon mal im vorraus!

Hallo.

In meiner Signatur findest du einen Link zu Systemsicherheit.

Dann zu deinem Problem:



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ComboFix 08-06-20.4 - Christian 2008-07-01 12:39:25.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1680 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Christian.ROMMEL\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Monja\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\Programme\MyWay
C:\Programme\MyWay\myBar\History\search
C:\Programme\VideoAccessCodec
C:\Programme\VideoAccessCodec\install.ico
C:\Programme\VideoAccessCodec\Thumbs.db

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-01 bis 2008-07-01 ))))))))))))))))))))))))))))))
.

2008-07-01 12:34 . 2008-07-01 12:34 <DIR> d-------- C:\Programme\CCleaner
2008-06-25 16:51 . 2008-06-25 16:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TomTom
2008-06-22 20:56 . 2008-06-22 20:56 0 --a------ C:\WINDOWS\popcinfo.dat
2008-06-22 19:39 . 2008-06-23 17:22 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-06-22 19:30 . 2008-06-22 19:31 <DIR> d-------- C:\Programme\eMule
2008-06-22 17:35 . 2008-06-22 17:35 <DIR> d-------- C:\Programme\Need2Find
2008-06-22 17:35 . 2008-06-22 17:35 <DIR> d-------- C:\Dokumente und Einstellungen\Christian.ROMMEL\Anwendungsdaten\ICQ Toolbar
2008-06-22 17:17 . 2008-06-22 19:32 <DIR> d-------- C:\WINDOWS\cdmxtras
2008-06-22 17:17 . 2008-06-22 17:17 <DIR> d-------- C:\WINDOWS\browserxtras
2008-06-22 17:06 . 2008-06-22 17:06 <DIR> d-------- C:\My Shared Folder
2008-06-22 17:06 . 1998-06-26 02:00 1,062,704 --a------ C:\WINDOWS\system32\MSCOMCTL.OCX
2008-06-22 17:06 . 1998-06-24 02:00 108,336 --a------ C:\WINDOWS\system32\MSWINSCK.OCX
2008-06-22 16:57 . 2008-06-22 16:57 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-06-22 16:57 . 2008-06-22 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-06-22 10:47 . 2008-06-22 10:47 25,088 --a------ C:\WINDOWS\system32\qoMggEww.dll
2008-06-22 10:43 . 2008-06-22 10:43 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-06-22 08:58 . 2008-06-22 08:58 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2008-06-22 08:57 . 2008-06-22 08:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Oberon Media
2008-06-18 17:58 . 2008-06-18 18:53 <DIR> d-------- C:\Dokumente und Einstellungen\Monja.ROMMEL\Anwendungsdaten\ICQ
2008-06-18 16:48 . 2008-06-18 16:48 <DIR> d-------- C:\Programme\ICQToolbar
2008-06-18 16:39 . 2008-06-18 17:58 <DIR> d-------- C:\Programme\ICQ6
2008-06-18 16:39 . 2008-06-18 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\Christian.ROMMEL\Anwendungsdaten\ICQ
2008-06-11 11:52 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 11:52 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-06 16:33 . 2008-06-06 16:39 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-06-06 11:07 . 2008-06-06 11:07 612 --a------ C:\WINDOWS\eReg.dat
2008-06-05 12:52 . 2008-06-05 12:52 <DIR> d-------- C:\Programme\directx

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-29 14:51 --------- d-----w C:\Dokumente und Einstellungen\Christian.ROMMEL\Anwendungsdaten\StarOffice8
2008-06-28 16:28 --------- d-----w C:\Dokumente und Einstellungen\Christian.ROMMEL\Anwendungsdaten\temp
2008-06-26 18:09 --------- d-----w C:\Dokumente und Einstellungen\Monja.ROMMEL\Anwendungsdaten\temp
2008-06-25 14:51 --------- d-----w C:\Programme\TomTom HOME
2008-06-25 14:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-23 07:11 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-23 06:14 --------- d-----w C:\Dokumente und Einstellungen\Christian.ROMMEL\Anwendungsdaten\Canon
2008-06-22 18:20 --------- d-----w C:\Programme\DOSBox-0.63
2008-06-22 11:18 --------- d-----w C:\Programme\Flash MX
2008-06-19 22:36 --------- d-----w C:\Dokumente und Einstellungen\Christian.ROMMEL\Anwendungsdaten\Skype
2008-06-16 19:25 --------- d-----w C:\Dokumente und Einstellungen\Monja.ROMMEL\Anwendungsdaten\Skype
2008-06-15 14:21 --------- d-----w C:\Dokumente und Einstellungen\Monja.ROMMEL\Anwendungsdaten\StarOffice8
2008-05-30 22:40 --------- d-----w C:\Dokumente und Einstellungen\Christian.ROMMEL\Anwendungsdaten\Arcsoft
2008-05-23 11:06 --------- d-----w C:\Dokumente und Einstellungen\Monja.ROMMEL\Anwendungsdaten\Canon
2008-05-18 17:28 8,464 ----a-w C:\WINDOWS\system32\SpOrder.dll
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-02 13:41 --------- d-----w C:\Dokumente und Einstellungen\Monja.ROMMEL\Anwendungsdaten\Arcsoft
2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-14 13:49 43,879,792 ----a-w C:\Programme\bitdefender_internetsecurity_2008_32b.exe
2008-03-14 01:58 722 ----a-w C:\Programme\VundoFix.txt
2008-03-13 21:36 147,456 ----a-w C:\Programme\VundoFix.exe
2007-08-24 19:22 134,192 ----a-w C:\Programme\Keymaker.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}]
2008-06-22 10:47 25088 --a------ C:\WINDOWS\system32\qoMggEww.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-22 12:09 262401]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-25 18:17 8527872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}"= C:\WINDOWS\system32\qoMggEww.dll [2008-06-22 10:47 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMggEww]
qoMggEww.dll 2008-06-22 10:47 25088 C:\WINDOWS\system32\qoMggEww.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Spiele\\Battlefield1942\\BF1942.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

S3 TSClient;Tatara Protocol Driver;C:\WINDOWS\system32\drivers\tsclient.sys [2005-11-30 23:20]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-01 12:41:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\qoMggEww.dll
.
Zeit der Fertigstellung: 2008-07-01 12:42:34
ComboFix-quarantined-files.txt 2008-07-01 10:42:32

15 Verzeichnis(se), 95,997,124,608 Bytes frei
20 Verzeichnis(se), 96,118,599,680 Bytes frei

121 --- E O F --- 2008-06-20 15:37:18

Gut. Überprüfe dein System jetzt mit SUPERAntiSpyware und Anti-Malware und poste beide logs.

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 07/01/2008 at 03:17 PM

Application Version : 4.15.1000

Core Rules Database Version : 3494
Trace Rules Database Version: 1485

Scan type : Complete Scan
Total Scan Time : 00:46:36

Memory items scanned : 355
Memory threats detected : 1
Registry items scanned : 3459
Registry threats detected : 1
File items scanned : 106710
File threats detected : 12

Trojan.Vundo-Variant/Small-GEN
C:\WINDOWS\SYSTEM32\QOMGGEWW.DLL
C:\WINDOWS\SYSTEM32\QOMGGEWW.DLL
Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\qoMggEww

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Christian.ROMMEL\Cookies\christian@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Christian.ROMMEL\Cookies\christian@atwola[1].txt
C:\Dokumente und Einstellungen\Christian.ROMMEL\Cookies\christian@2o7[1].txt

Adware.PointsManager-Uninstaller
C:\SYSTEM VOLUME INFORMATION\_RESTORE{404A84EB-C118-41C3-99C3-283951585BA0}\RP82\A0058000.EXE

Adware.RX Toolbar
C:\SYSTEM VOLUME INFORMATION\_RESTORE{404A84EB-C118-41C3-99C3-283951585BA0}\RP84\A0058035.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{404A84EB-C118-41C3-99C3-283951585BA0}\RP84\A0058036.DLL

Adware.Vundo-Variant
C:\SYSTEM VOLUME INFORMATION\_RESTORE{84D7655C-8AE2-4CB9-841F-C28F519C7E77}\RP12\A0001574.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{84D7655C-8AE2-4CB9-841F-C28F519C7E77}\RP25\A0003613.DLL

Adware.Vundo-Variant/E
C:\SYSTEM VOLUME INFORMATION\_RESTORE{84D7655C-8AE2-4CB9-841F-C28F519C7E77}\RP27\A0007169.DLL

Adware.Vundo-Variant/Small-A
C:\SYSTEM VOLUME INFORMATION\_RESTORE{84D7655C-8AE2-4CB9-841F-C28F519C7E77}\RP27\A0007175.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{84D7655C-8AE2-4CB9-841F-C28F519C7E77}\RP27\A0007177.DLL

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

Malwarebytes' Anti-Malware 1.19
Datenbank Version: 911
Windows 5.1.2600 Service Pack 2

17:04:33 01.07.2008
mbam-log-7-1-2008 (17-04-33).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 149335
Scan Dauer: 50 minute(s), 12 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\qoMggEww.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{c5e84927-cff0-4ca3-a068-02e7c01c1e7c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c5e84927-cff0-4ca3-a068-02e7c01c1e7c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomggeww (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{c5e84927-cff0-4ca3-a068-02e7c01c1e7c} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\qoMggEww.dll (Trojan.Vundo) -> Delete on reboot.
C:\Programme\Programme von D\Clone CD 4.3.1.9\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

Ich habe jetzt noch einen Durchlauf im abgesicherten Modus durchgeführt und jetzt nichts mehr gefunden.

Vielen Dank für die sehr kompetente Hilfe!:aplaus:

Ich werde die Ratschläge fürs sichere Surfen beherzigen!