Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virtumonde entfernen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 14.08.2008, 21:45   #1
fab_babz
 
Virtumonde entfernen - Unglücklich

Virtumonde entfernen



Ich hab Virtumonde auf dem System (Win XP, SP2) und schon folgende Programme im abgesicherten Modus ausgeführt:

AntiVir (aktuelles Update)
AntiSpybot (aktuelles Update)
VUndofix.exe
Virtumondefix.exe
VirtumondeBeGone.exe
Adaware
VxVMonde.exe

Virtumonde läßt sich entfernen, wird aber nach Neustart im AntiSpybot immer wieder angezeigt als Virtumonde.prx, Virtumonde.
Außerdem "Doubleclick" und "Statcounter" - Tracking Cookies.

Bitte um Hilfe um den Trojaner permanent zu entfernen
Danke!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:41:26, on 14.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.net-studio.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.1:3128
O1 - Hosts: 66.98.136.25 auto.search.msn.com
O1 - Hosts: 66.98.136.25 auto.search.msn.es
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BM437a5b7f] Rundll32.exe "C:\WINDOWS\system32\rkehdkyy.dll",s
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-3101801021-2854085240-1009185070-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158142419967
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1831E09-0FE4-4631-9F9F-AA6017A2F62C}: NameServer = 10.0.0.2,10.0.0.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = int.campus-sbg.at
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = int.campus-sbg.at
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 4464 bytes

Alt 15.08.2008, 21:32   #2
undoreal
/// AVZ-Toolkit Guru
 
Virtumonde entfernen - Standard

Virtumonde entfernen



Halli hallo fab_babz

Deinstalliere bitte zu erst Spybot und AdAware sowie AntiSpybot!

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:
    XP_ dingens.org
    Vista_ TechNET
    .
  • Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
    XP_ Firewall
    Vista_ Firewall
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista


Danach!:


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Dann konfiguriere AntiVir aggressiv, wechsel in den abgesicherten Modeus und führe dort einen Vollscan durch.
Poste anschließend das log.

So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich
__________________

__________________

Alt 16.08.2008, 16:34   #3
fab_babz
 
Virtumonde entfernen - Beitrag

Virtumonde entfernen



Hallo und danke für die schnelle Antwort.

Hab alles erledigt außer Windows Updates

Der Automatische Updates-Dienst lässt sich nicht aktivieren mit der Meldung
"Es fehlt erforderliche Datei in der Registrierung oder in Registrierung kann nicht geschrieben werden".

Vorher hatte ich Fehler 1058, hab folgendes probiert:
Microsoft-Lösung: (Profil aktiviert),
Intelligenter Hintergrundübertragungsdienst und Remoteprozeduraufruf gestartet; ->kein Erfolg
Danach Dial-a-Fix verwendet. Seitdem die Meldung "Es fehlt ...Datei.."

help plz

danke
__________________

Alt 17.08.2008, 13:31   #4
fab_babz
 
Virtumonde entfernen - Beitrag

Virtumonde entfernen



ComboFixLog:

ComboFix 08-08-16.01 - Benutzername 2008-08-17 12:24:05.1 - NTFSx86

ausgeführt von:: C:\Dokumente und Einstellungen\Benutzername\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080811135722027.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080811142107762.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080811222156869.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080812075731035.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080812123534679.log
C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\WINDOWS\BM437a5b7f.txt
C:\WINDOWS\BM437a5b7f.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\actskn43.ocx
C:\WINDOWS\system32\CKjllnmp.ini
C:\WINDOWS\system32\CKjllnmp.ini2
C:\WINDOWS\system32\csomnkte.exe
C:\WINDOWS\system32\lphcr5lj0ej51.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\oekuel.dll
C:\WINDOWS\system32\pmnlljKC.dll
C:\WINDOWS\system32\portojwa.dll
C:\WINDOWS\system32\psvkyahb.exe
C:\WINDOWS\system32\qrsnswoa.ini
C:\WINDOWS\system32\qveoodge.dll
C:\WINDOWS\system32\rkcsyvtg.ini
C:\WINDOWS\system32\rkehdkyy.dll
C:\WINDOWS\system32\tbfoikcu.dll
C:\WINDOWS\system32\uckiofbt.ini
C:\WINDOWS\system32\wasonxcr.exe
C:\WINDOWS\system32\winoqx32.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-17 bis 2008-08-17 ))))))))))))))))))))))))))))))
.

2008-08-16 16:45 . 2008-08-16 16:46 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-08-16 16:08 . 2008-08-16 16:08 <DIR> d-------- C:\Programme\CONEXANT
2008-08-16 16:08 . 2003-03-13 14:15 1,106,944 -ra------ C:\WINDOWS\system32\drivers\HSF_DP.sys
2008-08-16 16:08 . 2003-03-13 14:17 622,592 -ra------ C:\WINDOWS\system32\drivers\HSF_CNXT.sys
2008-08-16 16:08 . 2003-03-14 16:22 256,267 -ra------ C:\WINDOWS\system32\drivers\Snyunif.cty
2008-08-16 16:08 . 2003-03-13 14:19 159,488 -ra------ C:\WINDOWS\system32\drivers\HSFHWVIA.sys
2008-08-16 16:08 . 2002-12-11 09:49 69,632 -ra------ C:\WINDOWS\system32\mdmxsdk.dll
2008-08-16 16:08 . 2002-10-29 18:33 27,786 -ra------ C:\WINDOWS\system32\HSFCI005.dll
2008-08-16 16:08 . 2002-12-11 11:22 11,044 -ra------ C:\WINDOWS\system32\drivers\mdmxsdk.sys
2008-08-16 15:51 . 2008-08-16 15:51 <DIR> d-------- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Netscape
2008-08-16 15:47 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-16 15:38 . 2008-08-16 15:40 <DIR> d-------- C:\Programme\QuickTime
2008-08-16 15:35 . 2008-08-16 15:35 <DIR> d-------- C:\Programme\Apple Software Update
2008-08-16 15:35 . 2008-08-16 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-16 15:18 . 2008-08-16 15:18 <DIR> d-------- C:\Programme\Secunia
2008-08-15 15:52 . 2008-08-15 15:52 <DIR> d-------- C:\Programme\Avira
2008-08-15 15:52 . 2008-08-15 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-14 22:06 . 2008-08-14 22:06 <DIR> d-------- C:\Programme\Trend Micro
2008-08-14 11:48 . 2008-08-14 11:48 <DIR> d-------- C:\VundoFix Backups
2008-08-13 10:17 . 2008-08-13 10:17 268 --ah----- C:\sqmdata00.sqm
2008-08-13 10:17 . 2008-08-13 10:17 244 --ah----- C:\sqmnoopt00.sqm
2008-08-12 12:40 . 2008-08-12 12:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-12 08:36 . 2008-08-13 14:01 546 --a------ C:\WINDOWS\wininit.ini
2008-08-11 13:57 . 2008-08-12 14:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services
2008-08-11 13:46 . 2008-08-11 13:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
2008-08-11 13:41 . 2008-08-14 22:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2008-08-11 13:40 . 2008-08-14 22:28 <DIR> d-------- C:\Programme\Macromedia
2008-08-06 11:32 . 2008-08-06 11:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-16 13:51 --------- d-----w C:\Programme\Netscape
2008-08-16 13:47 --------- d-----w C:\Programme\Opera
2008-08-16 13:47 --------- d-----w C:\Programme\Java
2008-08-16 13:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-08-16 13:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-16 13:13 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-08-16 13:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-14 20:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-14 09:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-13 08:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-23 11:17 --------- d-----w C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\OpenOffice.org2
2008-06-26 07:20 --------- d-----w C:\Programme\Dana
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-08 15:14 87,184 ----a-w C:\WINDOWS\NSUninst.exe
2008-06-08 15:14 87,184 ----a-w C:\WINDOWS\GREUninstall.exe
2008-05-26 11:12 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-05-26 11:12 249,856 ------w C:\WINDOWS\Setup1.exe
2007-07-31 14:32 71,280 ----a-w C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-03-11 11:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2001-02-08 12:52 24,576 --sha-w C:\WINDOWS\system32\comsysh.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\PROGRA~1\GEMEIN~1\SONYSH~1\DVLib\sonydv.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=C:\WINDOWS\pss\Kodak EasyShare Software.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak software updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak software updater.lnk
backup=C:\WINDOWS\pss\Kodak software updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Benutzername^Startmenü^Programme^Autostart^Secunia PSI (RC3).lnk]
path=C:\Dokumente und Einstellungen\Benutzername\Startmenü\Programme\Autostart\Secunia PSI (RC3).lnk
backup=C:\WINDOWS\pss\Secunia PSI (RC3).lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
NvQTwk [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
--a------ 2003-02-27 10:04 114688 C:\Programme\Apoint\Apoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 14:28 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner]
--a------ 2007-05-10 13:01 598920 C:\Programme\CCleaner\ccleaner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 09:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dvd43]
--a------ 2006-05-22 14:26 694272 C:\Programme\dvd43\DVD43_Tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ezShieldProtector for Px]
--a------ 2002-08-20 10:29 40960 C:\WINDOWS\system32\ezSP_Px.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2007-06-26 20:27 312320 C:\Programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mozilla Quick Launch]
--a------ 2003-06-24 12:09 568096 C:\Programme\Netscape\Netscape\Netscp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-12-08 17:35 32768 C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2004-10-26 15:46 11294376 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 17:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-01-16 00:54 37376 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mouse Suite 98 Daemon]
--a------ 2002-03-14 16:46 45056 C:\WINDOWS\system32\ico.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2002-11-08 13:25 372736 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"xmlprov"=3 (0x3)
"WZCSVC"=2 (0x2)
"wscsvc"=2 (0x2)
"WmiApSrv"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"winmgmt"=2 (0x2)
"WebClient"=2 (0x2)
"W32Time"=3 (0x3)
"VSS"=3 (0x3)
"UPS"=3 (0x3)
"upnphost"=3 (0x3)
"TrkWks"=3 (0x3)
"Themes"=2 (0x2)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"stisvc"=3 (0x3)
"SSDPSRV"=3 (0x3)
"srservice"=2 (0x2)
"Spooler"=2 (0x2)
"ShellHWDetection"=2 (0x2)
"SharedAccess"=2 (0x2)
"SENS"=2 (0x2)
"seclogon"=3 (0x3)
"Schedule"=2 (0x2)
"SCardSvr"=3 (0x3)
"SamSs"=2 (0x2)
"RSVP"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"PolicyAgent"=3 (0x3)
"PlugPlay"=2 (0x2)
"NVSvc"=2 (0x2)
"NtmsSvc"=3 (0x3)
"NtLmSsp"=3 (0x3)
"Nla"=3 (0x3)
"Netman"=2 (0x2)
"Netlogon"=3 (0x3)
"MSIServer"=3 (0x3)
"MSDTC"=3 (0x3)
"mnmsrvc"=3 (0x3)
"MDM"=2 (0x2)
"Macromedia Licensing Service"=3 (0x3)
"LmHosts"=2 (0x2)
"lanmanworkstation"=2 (0x2)
"lanmanserver"=2 (0x2)
"ImapiService"=3 (0x3)
"HTTPFilter"=3 (0x3)
"helpsvc"=3 (0x3)
"FastUserSwitchingCompatibility"=3 (0x3)
"EventSystem"=3 (0x3)
"Eventlog"=2 (0x2)
"ERSvc"=2 (0x2)
"Dnscache"=3 (0x3)
"dmserver"=2 (0x2)
"dmadmin"=3 (0x3)
"Dhcp"=2 (0x2)
"CryptSvc"=2 (0x2)
"COMSysApp"=3 (0x3)
"CiSvc"=3 (0x3)
"Browser"=2 (0x2)
"BITS"=2 (0x2)
"AudioSrv"=2 (0x2)
"AppMgmt"=3 (0x3)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
"ALG"=3 (0x3)
"Adobe LM Service"=3 (0x3)
"aawservice"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-BM437a5b7f - C:\WINDOWS\system32\qveoodge.dll
Notify-winoqx32 - winoqx32.dll
MSConfigStartUp-404968e3 - C:\WINDOWS\system32\tbfoikcu.dll
MSConfigStartUp-ANIWZCS2Service - C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
MSConfigStartUp-BM437a5b7f - C:\WINDOWS\system32\qveoodge.dll
MSConfigStartUp-CloneCDTray - C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
MSConfigStartUp-InCD - C:\Programme\Ahead\InCD\InCD.exe
MSConfigStartUp-iTunesHelper - C:\Programme\iTunes\iTunesHelper.exe
MSConfigStartUp-lphcr5lj0ej51 - C:\WINDOWS\system32\lphcr5lj0ej51.exe
MSConfigStartUp-MeMediaSetup - C:\Programme\MeMediaSetup\MeMediaSetup.exe
MSConfigStartUp-MMAgent - C:\Programme\Mobile Master\MMAgent.exe
MSConfigStartUp-NeroFilterCheck - C:\WINDOWS\system32\NeroCheck.exe
MSConfigStartUp-SpybotSD TeaTimer - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-SpyHunter Security Suite - C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
MSConfigStartUp-uTorrent - C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\utorrent.exe
MSConfigStartUp-WLAN CARD WLAN Monitor - C:\Programme\WLAN CARD\WLANmon.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\zbcmv3mn.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-17 12:31:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-17 12:37:30 - PC wurde neu gestartet [Benutzername]
ComboFix-quarantined-files.txt 2008-08-17 10:37:26

Pre-Run: 7,192,281,088 Bytes frei
Post-Run: 7,109,824,512 Bytes frei

288 --- E O F --- 2008-07-09 08:01:16

Alt 17.08.2008, 13:33   #5
fab_babz
 
Virtumonde entfernen - Standard

Virtumonde entfernen



Antivir Log:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 17. August 2008 12:59

Es wird nach 1559120 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Benutzername
Computername: SUSI

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.6.10 2587136 Bytes 14.08.2008 14:14:53
ANTIVIR3.VDF : 7.0.6.24 103424 Bytes 16.08.2008 14:14:53
Engineversion : 8.1.1.19
AEVDF.DLL : 8.1.0.5 102772 Bytes 09.07.2008 08:38:31
AESCRIPT.DLL : 8.1.0.63 311673 Bytes 16.08.2008 14:14:59
AESCN.DLL : 8.1.0.23 119156 Bytes 16.08.2008 14:14:58
AERDL.DLL : 8.1.0.20 418165 Bytes 09.07.2008 08:38:31
AEPACK.DLL : 8.1.2.1 364917 Bytes 16.08.2008 14:14:58
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 16.08.2008 14:14:57
AEHEUR.DLL : 8.1.0.47 1368437 Bytes 16.08.2008 14:14:56
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 08:38:31
AEGEN.DLL : 8.1.0.35 315764 Bytes 16.08.2008 14:14:55
AEEMU.DLL : 8.1.0.7 430452 Bytes 16.08.2008 14:14:55
AECORE.DLL : 8.1.1.8 172406 Bytes 16.08.2008 14:14:54
AEBB.DLL : 8.1.0.1 53617 Bytes 24.04.2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 16.08.2008 14:14:54
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 17. August 2008 12:59

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'userinit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '43' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VAIO>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\Beethovens Symphonie Nr. 9 (Scherzo).wma
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490d052d.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\New Stories (Highway Blues).wma
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491f0536.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 327882R2FWJFW\psexec.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
--> 327882R2FWJFW\pv.cfexe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49150590.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\Virtumonde_fix.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a058d.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails Liane 1999\Outgoing\Noch was Nettes!!!.eml
[0] Archivtyp: MIME
--> Caiforni .exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490b059d.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails Liane 1999\Outgoing\Schreck dich nicht!.eml
[0] Archivtyp: MIME
--> Caiforni .exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49100591.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails London\Outgoing\Noch was Nettes!!!.eml
[0] Archivtyp: MIME
--> Caiforni .exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490b05a2.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails London\Outgoing\Schreck dich nicht!.eml
[0] Archivtyp: MIME
--> Caiforni .exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49100597.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\Virtumonde entfernen (Trojaner)\VirtumundoBeGone.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Processor
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a082d.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Soc Psych\mystery audio\1506178499525-001.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d807f9.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Soc Psych\mystery audio\boccaccio_decamerone_16.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490b083d.qua' verschoben!
C:\Programme\Adobe\Acrobat 7.0\Setup Files\RdrBig708\DEU_\Data1.cab
[0] Archivtyp: CAB (Microsoft)
--> VDK10.SYD
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Programme\Movie Maker\sample.asf
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49150cbf.qua' verschoben!
C:\Programme\Movie Maker\sample.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49150cc0.qua' verschoben!
C:\Programme\ParentsFriend\pfadmin.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49090d9d.qua' verschoben!
C:\QooBox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe.vir
[FUND] Enthält Erkennungsmuster des SPR/Fake.AntSpyWa-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48da0e9f.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\oekuel.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49130e93.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\pmnlljKC.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49160e9c.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\portojwa.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a0e9e.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\qveoodge.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490d0ea6.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\rkehdkyy.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490d0e9b.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\tbfoikcu.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490e0e92.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\winoqx32.dll.vir
[FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.vayi
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49160e9a.qua' verschoben!
C:\WINDOWS\Nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a0ea0.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\copycd.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4918115e.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\mdlib.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49141154.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\nuskin.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b1165.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\rtuner.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491d1165.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\viz.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4922115a.qua' verschoben!
C:\WINDOWS\system32\Comclg32.dll
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49151482.qua' verschoben!
C:\WINDOWS\system32\winadmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491614ec.qua' verschoben!
C:\WINDOWS\system32\winadmkill.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491614ed.qua' verschoben!
C:\WINDOWS\system32\oobe\images\title.wma
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491c1581.qua' verschoben!
Beginne mit der Suche in 'D:\' <VAIO>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Sicherung handy\audio\ringtones\3 Mia - Tanz Der Molekuele (Album Version).mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f515aa.qua' verschoben!
D:\Sicherung handy\music\Annabelle laut ganz.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491615fe.qua' verschoben!
D:\Sicherung handy\music\Annabelle laut geschnitten.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491615ff.qua' verschoben!
D:\Sicherung handy\music\Unbekannter Interpret\Unbekanntes Album\01 Annabelle laut geschnitten.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c815c2.qua' verschoben!
D:\Sicherung handy\music\Unbekannter Interpret\Unbekanntes Album\01 No23_Record_07 07 2007_00 09 45_.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c815c4.qua' verschoben!


Ende des Suchlaufs: Sonntag, 17. August 2008 14:12
Benötigte Zeit: 1:13:14 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

6886 Verzeichnisse wurden überprüft
471850 Dateien wurden geprüft
40 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
37 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
471807 Dateien ohne Befall
7638 Archive wurden durchsucht
3 Warnungen
37 Hinweise

Danke


Alt 17.08.2008, 15:26   #6
undoreal
/// AVZ-Toolkit Guru
 
Virtumonde entfernen - Standard

Virtumonde entfernen




Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\WINDOWS\system32\drivers\Snyunif.cty
C:\WINDOWS\system32\comsysh.exe
C:\Programme\Uninstall_CDS.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________
--> Virtumonde entfernen

Alt 18.08.2008, 09:37   #7
fab_babz
 
Virtumonde entfernen - Standard

Virtumonde entfernen



Hallo und danke,
hier sind die Scanresultate:

File Snyunif.cty received on 08.18.2008 10:23:07 (CET)
Current status: finished
Result: 0/36 (0.00%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.17 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.17 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3363 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 -
Rising 20.58.01.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.17 -
Webwasher-Gateway 6.6.2 2008.08.18 -
Additional information
File size: 256267 bytes
MD5...: 7c6258004aa72afb82728b4f9bf544c3
SHA1..: 84675b907d49b52b22b99b8e49d1845f13aa2e4b
SHA256: 32c3397d4e5bcaf50e3f4fe80dda8c92457409b6f65e410c69bfb763fe32869e
SHA512: 1b3bdb94edfc51dd49398fd0e02b1a205b945f2b7df8d517d3b25c8d2579ba1b
fb5cfbcdcf69d630fb729dd79700ef4a1d0a108d35b58bc3288fde87beac0bd7
PEiD..: -
PEInfo: -

File comsysh.exe received on 08.18.2008 10:25:07 (CET)
Current status: finished
Result: 0/36 (0.00%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.17 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.17 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3363 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 -
Rising 20.58.01.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.17 -
Webwasher-Gateway 6.6.2 2008.08.18 -
Additional information
File size: 24576 bytes
MD5...: d44f0697e10c4145e8eba37258af29f6
SHA1..: 625070643c6a268b84a2283735ea6c494ecb59c2
SHA256: be9872c877774baec59f8c09cf1841673cac441e3504b1885c901b76ab00d4fc
SHA512: 1af84df310ef87fd01dec67c4c5ea316dcd780f4a99d129bb822c95d4d930a85
ab88eeb65e556406bfda05d70b6a54e9eefec39ea0dc4e5600f4449e0845a3ca
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401320
timedatestamp.....: 0x3a82a484 (Thu Feb 08 13:52:04 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2190 0x3000 4.04 50db773c3e9f028e58772585ef5a62ef
.data 0x4000 0xb80 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x5000 0x8dc 0x1000 1.92 dac60f25e029229fc067e6b7918bf65e

( 1 imports )
> MSVBVM60.DLL: _CIcos, _adj_fptan, __vbaStrI4, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, _adj_fdiv_m64, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaExitProc, __vbaOnError, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaFpR4, _CIsin, -, -, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, DllFunctionCall, _adj_fpatan, __vbaRecUniToAnsi, EVENT_SINK_Release, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, __vbaFPException, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, -, __vbaNew2, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaStrToAnsi, __vbaRecDestructAnsi, -, _CIatan, __vbaStrMove, _allmul, _CItan, _CIexp, __vbaFreeStr, __vbaFreeObj

( 0 exports )

File Uninstall_CDS.exe received on 08.03.2008 15:30:45 (CET)
Current status: finished
Result: 0/36 (0.00%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.7.29.1 2008.08.02 -
AntiVir 7.8.1.15 2008.08.01 -
Authentium 5.1.0.4 2008.08.03 -
Avast 4.8.1195.0 2008.08.02 -
AVG 8.0.0.156 2008.08.02 -
BitDefender 7.2 2008.08.03 -
CAT-QuickHeal 9.50 2008.08.02 -
ClamAV 0.93.1 2008.08.03 -
DrWeb 4.44.0.09170 2008.08.03 -
eSafe 7.0.17.0 2008.08.03 -
eTrust-Vet 31.6.6002 2008.08.02 -
Ewido 4.0 2008.08.03 -
F-Prot 4.4.4.56 2008.08.03 -
F-Secure 7.60.13501.0 2008.08.03 -
Fortinet 3.14.0.0 2008.08.03 -
GData 2.0.7306.1023 2008.08.03 -
Ikarus T3.1.1.34.0 2008.08.03 -
K7AntiVirus 7.10.402 2008.08.02 -
Kaspersky 7.0.0.125 2008.08.03 -
McAfee 5352 2008.08.01 -
Microsoft 1.3807 2008.08.03 -
NOD32v2 3322 2008.08.03 -
Norman 5.80.02 2008.08.01 -
Panda 9.0.0.4 2008.08.03 -
PCTools 4.4.2.0 2008.08.03 -
Prevx1 V2 2008.08.03 -
Rising 20.55.62.00 2008.08.03 -
Sophos 4.31.0 2008.08.03 -
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.03 -
TheHacker 6.2.96.392 2008.08.02 -
TrendMicro 8.700.0.1004 2008.08.01 -
VBA32 3.12.8.2 2008.08.02 -
ViRobot 2008.8.1.1321 2008.08.01 -
VirusBuster 4.5.11.0 2008.08.02 -
Webwasher-Gateway 6.6.2 2008.08.03 -
Additional information
File size: 40960 bytes
MD5...: ab485c92592a3ee01572910e3cb26243
SHA1..: e745ce993bc829e045ff84fb61a2cf34221ccc9b
SHA256: 31356ad2c96230999e078f747b137a6bcb4105840abcc6b5cdecbee18530bce7
SHA512: 398ab0411aa326e85b48923f59c70b54c01c4747ea554afc11a22e4b9d012b1f
c87f627b76272bdd845b63831bd4addd5468d11cafb391949ce3a162f6e08c57
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401dd0
timedatestamp.....: 0x404ff8b9 (Thu Mar 11 05:27:21 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x47d4 0x5000 6.17 d2c028ec6e5dabed76fd60424bb693cc
.rdata 0x6000 0x998 0x1000 3.71 a9b275ffd086301fd91dfe940edf99ab
.data 0x7000 0x221c 0x1000 3.14 2bd2989cee70d2788ce5250e7524abc1
.rsrc 0xa000 0x1be0 0x2000 4.12 513abc3f245ad9abf5dc00b39b6e9553

( 3 imports )
> KERNEL32.dll: GetLastError, GetSystemDirectoryA, GetWindowsDirectoryA, CreateProcessA, GetVersionExA, GetEnvironmentStringsW, VirtualFree, HeapCreate, CloseHandle, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, WaitForSingleObject, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, FlushFileBuffers, HeapReAlloc, HeapFree, RtlUnwind, WriteFile, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, MultiByteToWideChar, GetProcAddress, LoadLibraryA, SetStdHandle, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW
> USER32.dll: SendMessageA, FindWindowA
> ADVAPI32.dll: RegFlushKey, RegCloseKey, RegOpenKeyExA, RegQueryValueExA

( 0 exports )

Alt 18.08.2008, 10:08   #8
undoreal
/// AVZ-Toolkit Guru
 
Virtumonde entfernen - Standard

Virtumonde entfernen



Das sieht doch ganz gut aus.. Hast du noch Probleme?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 18.08.2008, 20:21   #9
fab_babz
 
Virtumonde entfernen - Icon26

Virtumonde entfernen



Hallo,

scheint wieder alles zu passen

Danke Undoreal, ich empfehl euch weiter!

Antwort

Themen zu Virtumonde entfernen
abgesicherten modus, ad-aware, antivirus, avg, avira, dll, entfernen, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, icq, immer wieder, internet, internet explorer, messenger, microsoft, neustart, programme, rundll, software, system, trojaner, virtumonde, windows, windows xp




Ähnliche Themen: Virtumonde entfernen


  1. VIRTUMONDE und SMITFRAUD ENTFERNEN
    Log-Analyse und Auswertung - 02.02.2009 (8)
  2. Virtumonde von meinem System entfernen?
    Mülltonne - 05.01.2009 (0)
  3. Virtumonde entfernen - welcher Weg ist der richtige?
    Plagegeister aller Art und deren Bekämpfung - 02.01.2009 (1)
  4. Iwe kann man Virtumonde entfernen?
    Log-Analyse und Auswertung - 27.12.2008 (11)
  5. Kann Virus Virtumonde nicht entfernen!
    Mülltonne - 24.12.2008 (0)
  6. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  7. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  8. Virtumonde - wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 05.12.2008 (0)
  9. Virtumonde Trojaner--entfernen?
    Log-Analyse und Auswertung - 05.12.2008 (0)
  10. virtumonde entfernen
    Plagegeister aller Art und deren Bekämpfung - 11.11.2008 (10)
  11. Virtumonde.prx entfernen OHNE Format C: - nur wie?
    Mülltonne - 03.11.2008 (0)
  12. Virtumonde entfernen
    Mülltonne - 30.09.2008 (0)
  13. virtumonde entfernen
    Plagegeister aller Art und deren Bekämpfung - 18.08.2008 (7)
  14. Virtumonde entfernen
    Plagegeister aller Art und deren Bekämpfung - 30.06.2008 (9)
  15. Virtumonde entfernen
    Mülltonne - 30.06.2008 (0)
  16. ADSPY/Virtumonde.JP.74 kann ich nicht entfernen
    Log-Analyse und Auswertung - 16.06.2007 (1)
  17. Virtumonde entfernen?
    Log-Analyse und Auswertung - 12.05.2007 (8)

Zum Thema Virtumonde entfernen - Ich hab Virtumonde auf dem System (Win XP, SP2) und schon folgende Programme im abgesicherten Modus ausgeführt: AntiVir (aktuelles Update) AntiSpybot (aktuelles Update) VUndofix.exe Virtumondefix.exe VirtumondeBeGone.exe Adaware VxVMonde.exe Virtumonde läßt - Virtumonde entfernen...
Archiv
Du betrachtest: Virtumonde entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.