|
Log-Analyse und Auswertung: Virtumonde entfernenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.08.2008, 21:45 | #1 |
| Virtumonde entfernen Ich hab Virtumonde auf dem System (Win XP, SP2) und schon folgende Programme im abgesicherten Modus ausgeführt: AntiVir (aktuelles Update) AntiSpybot (aktuelles Update) VUndofix.exe Virtumondefix.exe VirtumondeBeGone.exe Adaware VxVMonde.exe Virtumonde läßt sich entfernen, wird aber nach Neustart im AntiSpybot immer wieder angezeigt als Virtumonde.prx, Virtumonde. Außerdem "Doubleclick" und "Statcounter" - Tracking Cookies. Bitte um Hilfe um den Trojaner permanent zu entfernen Danke! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:41:26, on 14.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.net-studio.org R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.1:3128 O1 - Hosts: 66.98.136.25 auto.search.msn.com O1 - Hosts: 66.98.136.25 auto.search.msn.es O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BM437a5b7f] Rundll32.exe "C:\WINDOWS\system32\rkehdkyy.dll",s O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-21-3101801021-2854085240-1009185070-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158142419967 O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O17 - HKLM\System\CCS\Services\Tcpip\..\{E1831E09-0FE4-4631-9F9F-AA6017A2F62C}: NameServer = 10.0.0.2,10.0.0.11 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = int.campus-sbg.at O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = int.campus-sbg.at O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe -- End of file - 4464 bytes |
15.08.2008, 21:32 | #2 |
/// AVZ-Toolkit Guru | Virtumonde entfernen Halli hallo fab_babz
__________________Deinstalliere bitte zu erst Spybot und AdAware sowie AntiSpybot! Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
Danach!: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Dann konfiguriere AntiVir aggressiv, wechsel in den abgesicherten Modeus und führe dort einen Vollscan durch. Poste anschließend das log. So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich
__________________ |
16.08.2008, 16:34 | #3 |
| Virtumonde entfernen Hallo und danke für die schnelle Antwort.
__________________Hab alles erledigt außer Windows Updates Der Automatische Updates-Dienst lässt sich nicht aktivieren mit der Meldung "Es fehlt erforderliche Datei in der Registrierung oder in Registrierung kann nicht geschrieben werden". Vorher hatte ich Fehler 1058, hab folgendes probiert: Microsoft-Lösung: (Profil aktiviert), Intelligenter Hintergrundübertragungsdienst und Remoteprozeduraufruf gestartet; ->kein Erfolg Danach Dial-a-Fix verwendet. Seitdem die Meldung "Es fehlt ...Datei.." help plz danke |
17.08.2008, 13:31 | #4 |
| Virtumonde entfernen ComboFixLog: ComboFix 08-08-16.01 - Benutzername 2008-08-17 12:24:05.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Benutzername\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\SystemCertificates\My C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080811135722027.log C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080811142107762.log C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080811222156869.log C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080812075731035.log C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080812123534679.log C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Microsoft\SystemCertificates\My C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My C:\WINDOWS\BM437a5b7f.txt C:\WINDOWS\BM437a5b7f.xml C:\WINDOWS\cookies.ini C:\WINDOWS\pskt.ini C:\WINDOWS\system32\actskn43.ocx C:\WINDOWS\system32\CKjllnmp.ini C:\WINDOWS\system32\CKjllnmp.ini2 C:\WINDOWS\system32\csomnkte.exe C:\WINDOWS\system32\lphcr5lj0ej51.exe C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\oekuel.dll C:\WINDOWS\system32\pmnlljKC.dll C:\WINDOWS\system32\portojwa.dll C:\WINDOWS\system32\psvkyahb.exe C:\WINDOWS\system32\qrsnswoa.ini C:\WINDOWS\system32\qveoodge.dll C:\WINDOWS\system32\rkcsyvtg.ini C:\WINDOWS\system32\rkehdkyy.dll C:\WINDOWS\system32\tbfoikcu.dll C:\WINDOWS\system32\uckiofbt.ini C:\WINDOWS\system32\wasonxcr.exe C:\WINDOWS\system32\winoqx32.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-07-17 bis 2008-08-17 )))))))))))))))))))))))))))))) . 2008-08-16 16:45 . 2008-08-16 16:46 <DIR> d-------- C:\WINDOWS\system32\CatRoot2 2008-08-16 16:08 . 2008-08-16 16:08 <DIR> d-------- C:\Programme\CONEXANT 2008-08-16 16:08 . 2003-03-13 14:15 1,106,944 -ra------ C:\WINDOWS\system32\drivers\HSF_DP.sys 2008-08-16 16:08 . 2003-03-13 14:17 622,592 -ra------ C:\WINDOWS\system32\drivers\HSF_CNXT.sys 2008-08-16 16:08 . 2003-03-14 16:22 256,267 -ra------ C:\WINDOWS\system32\drivers\Snyunif.cty 2008-08-16 16:08 . 2003-03-13 14:19 159,488 -ra------ C:\WINDOWS\system32\drivers\HSFHWVIA.sys 2008-08-16 16:08 . 2002-12-11 09:49 69,632 -ra------ C:\WINDOWS\system32\mdmxsdk.dll 2008-08-16 16:08 . 2002-10-29 18:33 27,786 -ra------ C:\WINDOWS\system32\HSFCI005.dll 2008-08-16 16:08 . 2002-12-11 11:22 11,044 -ra------ C:\WINDOWS\system32\drivers\mdmxsdk.sys 2008-08-16 15:51 . 2008-08-16 15:51 <DIR> d-------- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Netscape 2008-08-16 15:47 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-08-16 15:38 . 2008-08-16 15:40 <DIR> d-------- C:\Programme\QuickTime 2008-08-16 15:35 . 2008-08-16 15:35 <DIR> d-------- C:\Programme\Apple Software Update 2008-08-16 15:35 . 2008-08-16 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2008-08-16 15:18 . 2008-08-16 15:18 <DIR> d-------- C:\Programme\Secunia 2008-08-15 15:52 . 2008-08-15 15:52 <DIR> d-------- C:\Programme\Avira 2008-08-15 15:52 . 2008-08-15 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-08-14 22:06 . 2008-08-14 22:06 <DIR> d-------- C:\Programme\Trend Micro 2008-08-14 11:48 . 2008-08-14 11:48 <DIR> d-------- C:\VundoFix Backups 2008-08-13 10:17 . 2008-08-13 10:17 268 --ah----- C:\sqmdata00.sqm 2008-08-13 10:17 . 2008-08-13 10:17 244 --ah----- C:\sqmnoopt00.sqm 2008-08-12 12:40 . 2008-08-12 12:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-08-12 08:36 . 2008-08-13 14:01 546 --a------ C:\WINDOWS\wininit.ini 2008-08-11 13:57 . 2008-08-12 14:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services 2008-08-11 13:46 . 2008-08-11 13:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision 2008-08-11 13:41 . 2008-08-14 22:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia 2008-08-11 13:40 . 2008-08-14 22:28 <DIR> d-------- C:\Programme\Macromedia 2008-08-06 11:32 . 2008-08-06 11:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-16 13:51 --------- d-----w C:\Programme\Netscape 2008-08-16 13:47 --------- d-----w C:\Programme\Opera 2008-08-16 13:47 --------- d-----w C:\Programme\Java 2008-08-16 13:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-08-16 13:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-08-16 13:13 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-08-16 13:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-08-14 20:28 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-14 09:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-08-13 08:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-07-23 11:17 --------- d-----w C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\OpenOffice.org2 2008-06-26 07:20 --------- d-----w C:\Programme\Dana 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-08 15:14 87,184 ----a-w C:\WINDOWS\NSUninst.exe 2008-06-08 15:14 87,184 ----a-w C:\WINDOWS\GREUninstall.exe 2008-05-26 11:12 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE 2008-05-26 11:12 249,856 ------w C:\WINDOWS\Setup1.exe 2007-07-31 14:32 71,280 ----a-w C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2004-03-11 11:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe 2001-02-08 12:52 24,576 --sha-w C:\WINDOWS\system32\comsysh.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoLogOff"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.dvsd"= C:\PROGRA~1\GEMEIN~1\SONYSH~1\DVLib\sonydv.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk backup=C:\WINDOWS\pss\Kodak EasyShare Software.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak software updater.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak software updater.lnk backup=C:\WINDOWS\pss\Kodak software updater.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Benutzername^Startmenü^Programme^Autostart^Secunia PSI (RC3).lnk] path=C:\Dokumente und Einstellungen\Benutzername\Startmenü\Programme\Autostart\Secunia PSI (RC3).lnk backup=C:\WINDOWS\pss\Secunia PSI (RC3).lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] NvQTwk [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint] --a------ 2003-02-27 10:04 114688 C:\Programme\Apoint\Apoint.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] --a------ 2008-06-12 14:28 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner] --a------ 2007-05-10 13:01 598920 C:\Programme\CCleaner\ccleaner.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-04 09:57 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dvd43] --a------ 2006-05-22 14:26 694272 C:\Programme\dvd43\DVD43_Tray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ezShieldProtector for Px] --a------ 2002-08-20 10:29 40960 C:\WINDOWS\system32\ezSP_Px.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant] --a------ 2007-06-26 20:27 312320 C:\Programme\FreePDF_XP\fpassist.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] --a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mozilla Quick Launch] --a------ 2003-06-24 12:09 568096 C:\Programme\Netscape\Netscape\Netscp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-10-18 11:34 5724184 C:\Programme\Windows Live\Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2003-12-08 17:35 32768 C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2004-10-26 15:46 11294376 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] -ra------ 2005-10-26 17:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-06-10 04:27 144784 C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] -ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2008-01-16 00:54 37376 C:\Programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mouse Suite 98 Daemon] --a------ 2002-03-14 16:46 45056 C:\WINDOWS\system32\ico.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2002-11-08 13:25 372736 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "xmlprov"=3 (0x3) "WZCSVC"=2 (0x2) "wscsvc"=2 (0x2) "WmiApSrv"=3 (0x3) "WmdmPmSN"=3 (0x3) "winmgmt"=2 (0x2) "WebClient"=2 (0x2) "W32Time"=3 (0x3) "VSS"=3 (0x3) "UPS"=3 (0x3) "upnphost"=3 (0x3) "TrkWks"=3 (0x3) "Themes"=2 (0x2) "TermService"=3 (0x3) "TapiSrv"=3 (0x3) "SysmonLog"=3 (0x3) "SwPrv"=3 (0x3) "stisvc"=3 (0x3) "SSDPSRV"=3 (0x3) "srservice"=2 (0x2) "Spooler"=2 (0x2) "ShellHWDetection"=2 (0x2) "SharedAccess"=2 (0x2) "SENS"=2 (0x2) "seclogon"=3 (0x3) "Schedule"=2 (0x2) "SCardSvr"=3 (0x3) "SamSs"=2 (0x2) "RSVP"=3 (0x3) "RasMan"=3 (0x3) "RasAuto"=3 (0x3) "ProtectedStorage"=2 (0x2) "PolicyAgent"=3 (0x3) "PlugPlay"=2 (0x2) "NVSvc"=2 (0x2) "NtmsSvc"=3 (0x3) "NtLmSsp"=3 (0x3) "Nla"=3 (0x3) "Netman"=2 (0x2) "Netlogon"=3 (0x3) "MSIServer"=3 (0x3) "MSDTC"=3 (0x3) "mnmsrvc"=3 (0x3) "MDM"=2 (0x2) "Macromedia Licensing Service"=3 (0x3) "LmHosts"=2 (0x2) "lanmanworkstation"=2 (0x2) "lanmanserver"=2 (0x2) "ImapiService"=3 (0x3) "HTTPFilter"=3 (0x3) "helpsvc"=3 (0x3) "FastUserSwitchingCompatibility"=3 (0x3) "EventSystem"=3 (0x3) "Eventlog"=2 (0x2) "ERSvc"=2 (0x2) "Dnscache"=3 (0x3) "dmserver"=2 (0x2) "dmadmin"=3 (0x3) "Dhcp"=2 (0x2) "CryptSvc"=2 (0x2) "COMSysApp"=3 (0x3) "CiSvc"=3 (0x3) "Browser"=2 (0x2) "BITS"=2 (0x2) "AudioSrv"=2 (0x2) "AppMgmt"=3 (0x3) "AntiVirService"=2 (0x2) "AntiVirScheduler"=2 (0x2) "ALG"=3 (0x3) "Adobe LM Service"=3 (0x3) "aawservice"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\WINDOWS\\system32\\javaw.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\WINDOWS\\system32\\winver.exe"= . Inhalt des "geplante Tasks" Ordners . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - HKLM-Run-BM437a5b7f - C:\WINDOWS\system32\qveoodge.dll Notify-winoqx32 - winoqx32.dll MSConfigStartUp-404968e3 - C:\WINDOWS\system32\tbfoikcu.dll MSConfigStartUp-ANIWZCS2Service - C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe MSConfigStartUp-BM437a5b7f - C:\WINDOWS\system32\qveoodge.dll MSConfigStartUp-CloneCDTray - C:\Programme\SlySoft\CloneCD\CloneCDTray.exe MSConfigStartUp-InCD - C:\Programme\Ahead\InCD\InCD.exe MSConfigStartUp-iTunesHelper - C:\Programme\iTunes\iTunesHelper.exe MSConfigStartUp-lphcr5lj0ej51 - C:\WINDOWS\system32\lphcr5lj0ej51.exe MSConfigStartUp-MeMediaSetup - C:\Programme\MeMediaSetup\MeMediaSetup.exe MSConfigStartUp-MMAgent - C:\Programme\Mobile Master\MMAgent.exe MSConfigStartUp-NeroFilterCheck - C:\WINDOWS\system32\NeroCheck.exe MSConfigStartUp-SpybotSD TeaTimer - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe MSConfigStartUp-SpyHunter Security Suite - C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe MSConfigStartUp-uTorrent - C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\utorrent.exe MSConfigStartUp-WLAN CARD WLAN Monitor - C:\Programme\WLAN CARD\WLANmon.exe . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\zbcmv3mn.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-17 12:31:47 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-08-17 12:37:30 - PC wurde neu gestartet [Benutzername] ComboFix-quarantined-files.txt 2008-08-17 10:37:26 Pre-Run: 7,192,281,088 Bytes frei Post-Run: 7,109,824,512 Bytes frei 288 --- E O F --- 2008-07-09 08:01:16 |
17.08.2008, 13:33 | #5 |
| Virtumonde entfernen Antivir Log: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 17. August 2008 12:59 Es wird nach 1559120 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Abgesicherter Modus Benutzername: Benutzername Computername: SUSI Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15 ANTIVIR2.VDF : 7.0.6.10 2587136 Bytes 14.08.2008 14:14:53 ANTIVIR3.VDF : 7.0.6.24 103424 Bytes 16.08.2008 14:14:53 Engineversion : 8.1.1.19 AEVDF.DLL : 8.1.0.5 102772 Bytes 09.07.2008 08:38:31 AESCRIPT.DLL : 8.1.0.63 311673 Bytes 16.08.2008 14:14:59 AESCN.DLL : 8.1.0.23 119156 Bytes 16.08.2008 14:14:58 AERDL.DLL : 8.1.0.20 418165 Bytes 09.07.2008 08:38:31 AEPACK.DLL : 8.1.2.1 364917 Bytes 16.08.2008 14:14:58 AEOFFICE.DLL : 8.1.0.21 192891 Bytes 16.08.2008 14:14:57 AEHEUR.DLL : 8.1.0.47 1368437 Bytes 16.08.2008 14:14:56 AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 08:38:31 AEGEN.DLL : 8.1.0.35 315764 Bytes 16.08.2008 14:14:55 AEEMU.DLL : 8.1.0.7 430452 Bytes 16.08.2008 14:14:55 AECORE.DLL : 8.1.1.8 172406 Bytes 16.08.2008 14:14:54 AEBB.DLL : 8.1.0.1 53617 Bytes 24.04.2008 08:50:42 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 16.08.2008 14:14:54 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Sonntag, 17. August 2008 12:59 Der Suchlauf nach versteckten Objekten wird begonnen. Der Treiber konnte nicht initialisiert werden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'userinit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '11' Prozesse mit '11' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '43' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <VAIO> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\Beethovens Symphonie Nr. 9 (Scherzo).wma [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490d052d.qua' verschoben! C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\New Stories (Highway Blues).wma [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491f0536.qua' verschoben! C:\Dokumente und Einstellungen\Benutzername\Desktop\ComboFix.exe [0] Archivtyp: RAR SFX (self extracting) --> 327882R2FWJFW\NirCmd.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B --> 327882R2FWJFW\nircmd.com [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B --> 327882R2FWJFW\NirCmdC.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B --> 327882R2FWJFW\psexec.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072 --> 327882R2FWJFW\pv.cfexe [FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49150590.qua' verschoben! C:\Dokumente und Einstellungen\Benutzername\Desktop\Virtumonde_fix.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a058d.qua' verschoben! C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails Liane 1999\Outgoing\Noch was Nettes!!!.eml [0] Archivtyp: MIME --> Caiforni .exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490b059d.qua' verschoben! C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails Liane 1999\Outgoing\Schreck dich nicht!.eml [0] Archivtyp: MIME --> Caiforni .exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49100591.qua' verschoben! C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails London\Outgoing\Noch was Nettes!!!.eml [0] Archivtyp: MIME --> Caiforni .exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490b05a2.qua' verschoben! C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails London\Outgoing\Schreck dich nicht!.eml [0] Archivtyp: MIME --> Caiforni .exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49100597.qua' verschoben! C:\Dokumente und Einstellungen\Benutzername\Desktop\Virtumonde entfernen (Trojaner)\VirtumundoBeGone.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/Processor [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a082d.qua' verschoben! C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Soc Psych\mystery audio\1506178499525-001.mp3 [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d807f9.qua' verschoben! C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Soc Psych\mystery audio\boccaccio_decamerone_16.mp3 [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490b083d.qua' verschoben! C:\Programme\Adobe\Acrobat 7.0\Setup Files\RdrBig708\DEU_\Data1.cab [0] Archivtyp: CAB (Microsoft) --> VDK10.SYD [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\Programme\Movie Maker\sample.asf [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49150cbf.qua' verschoben! C:\Programme\Movie Maker\sample.wmv [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49150cc0.qua' verschoben! C:\Programme\ParentsFriend\pfadmin.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49090d9d.qua' verschoben! C:\QooBox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe.vir [FUND] Enthält Erkennungsmuster des SPR/Fake.AntSpyWa-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48da0e9f.qua' verschoben! C:\QooBox\Quarantine\C\WINDOWS\system32\oekuel.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49130e93.qua' verschoben! C:\QooBox\Quarantine\C\WINDOWS\system32\pmnlljKC.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49160e9c.qua' verschoben! C:\QooBox\Quarantine\C\WINDOWS\system32\portojwa.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a0e9e.qua' verschoben! C:\QooBox\Quarantine\C\WINDOWS\system32\qveoodge.dll.vir [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490d0ea6.qua' verschoben! C:\QooBox\Quarantine\C\WINDOWS\system32\rkehdkyy.dll.vir [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490d0e9b.qua' verschoben! C:\QooBox\Quarantine\C\WINDOWS\system32\tbfoikcu.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490e0e92.qua' verschoben! C:\QooBox\Quarantine\C\WINDOWS\system32\winoqx32.dll.vir [FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.vayi [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49160e9a.qua' verschoben! C:\WINDOWS\Nircmd.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a0ea0.qua' verschoben! C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\copycd.wmv [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4918115e.qua' verschoben! C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\mdlib.wmv [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49141154.qua' verschoben! C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\nuskin.wmv [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b1165.qua' verschoben! C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\rtuner.wmv [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491d1165.qua' verschoben! C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\viz.wmv [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4922115a.qua' verschoben! C:\WINDOWS\system32\Comclg32.dll [FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49151482.qua' verschoben! C:\WINDOWS\system32\winadmd.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491614ec.qua' verschoben! C:\WINDOWS\system32\winadmkill.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491614ed.qua' verschoben! C:\WINDOWS\system32\oobe\images\title.wma [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491c1581.qua' verschoben! Beginne mit der Suche in 'D:\' <VAIO> D:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Sicherung handy\audio\ringtones\3 Mia - Tanz Der Molekuele (Album Version).mp3 [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f515aa.qua' verschoben! D:\Sicherung handy\music\Annabelle laut ganz.mp3 [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491615fe.qua' verschoben! D:\Sicherung handy\music\Annabelle laut geschnitten.mp3 [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491615ff.qua' verschoben! D:\Sicherung handy\music\Unbekannter Interpret\Unbekanntes Album\01 Annabelle laut geschnitten.mp3 [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c815c2.qua' verschoben! D:\Sicherung handy\music\Unbekannter Interpret\Unbekanntes Album\01 No23_Record_07 07 2007_00 09 45_.mp3 [FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c815c4.qua' verschoben! Ende des Suchlaufs: Sonntag, 17. August 2008 14:12 Benötigte Zeit: 1:13:14 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 6886 Verzeichnisse wurden überprüft 471850 Dateien wurden geprüft 40 Viren bzw. unerwünschte Programme wurden gefunden 1 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 37 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 471807 Dateien ohne Befall 7638 Archive wurden durchsucht 3 Warnungen 37 Hinweise Danke |
17.08.2008, 15:26 | #6 | |
/// AVZ-Toolkit Guru | Virtumonde entfernenDateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________ --> Virtumonde entfernen |
18.08.2008, 09:37 | #7 |
| Virtumonde entfernen Hallo und danke, hier sind die Scanresultate: File Snyunif.cty received on 08.18.2008 10:23:07 (CET) Current status: finished Result: 0/36 (0.00%) Compact Compact Print results Print results Antivirus Version Last Update Result AhnLab-V3 2008.8.15.0 2008.08.18 - AntiVir 7.8.1.19 2008.08.18 - Authentium 5.1.0.4 2008.08.18 - Avast 4.8.1195.0 2008.08.17 - AVG 8.0.0.161 2008.08.17 - BitDefender 7.2 2008.08.18 - CAT-QuickHeal 9.50 2008.08.16 - ClamAV 0.93.1 2008.08.18 - DrWeb 4.44.0.09170 2008.08.18 - eSafe 7.0.17.0 2008.08.17 - eTrust-Vet 31.6.6035 2008.08.15 - Ewido 4.0 2008.08.17 - F-Prot 4.4.4.56 2008.08.17 - F-Secure 7.60.13501.0 2008.08.18 - Fortinet 3.14.0.0 2008.08.18 - GData 2.0.7306.1023 2008.08.18 - Ikarus T3.1.1.34.0 2008.08.18 - K7AntiVirus 7.10.417 2008.08.15 - Kaspersky 7.0.0.125 2008.08.18 - McAfee 5362 2008.08.15 - Microsoft 1.3807 2008.08.18 - NOD32v2 3363 2008.08.18 - Norman 5.80.02 2008.08.15 - Panda 9.0.0.4 2008.08.17 - PCTools 4.4.2.0 2008.08.17 - Prevx1 V2 2008.08.18 - Rising 20.58.01.00 2008.08.18 - Sophos 4.32.0 2008.08.18 - Sunbelt 3.1.1546.1 2008.08.15 - Symantec 10 2008.08.18 - TheHacker 6.3.0.5.053 2008.08.18 - TrendMicro 8.700.0.1004 2008.08.18 - VBA32 3.12.8.3 2008.08.18 - ViRobot 2008.8.16.1338 2008.08.16 - VirusBuster 4.5.11.0 2008.08.17 - Webwasher-Gateway 6.6.2 2008.08.18 - Additional information File size: 256267 bytes MD5...: 7c6258004aa72afb82728b4f9bf544c3 SHA1..: 84675b907d49b52b22b99b8e49d1845f13aa2e4b SHA256: 32c3397d4e5bcaf50e3f4fe80dda8c92457409b6f65e410c69bfb763fe32869e SHA512: 1b3bdb94edfc51dd49398fd0e02b1a205b945f2b7df8d517d3b25c8d2579ba1b fb5cfbcdcf69d630fb729dd79700ef4a1d0a108d35b58bc3288fde87beac0bd7 PEiD..: - PEInfo: - File comsysh.exe received on 08.18.2008 10:25:07 (CET) Current status: finished Result: 0/36 (0.00%) Compact Compact Print results Print results Antivirus Version Last Update Result AhnLab-V3 2008.8.15.0 2008.08.18 - AntiVir 7.8.1.19 2008.08.18 - Authentium 5.1.0.4 2008.08.18 - Avast 4.8.1195.0 2008.08.17 - AVG 8.0.0.161 2008.08.17 - BitDefender 7.2 2008.08.18 - CAT-QuickHeal 9.50 2008.08.16 - ClamAV 0.93.1 2008.08.18 - DrWeb 4.44.0.09170 2008.08.18 - eSafe 7.0.17.0 2008.08.17 - eTrust-Vet 31.6.6035 2008.08.15 - Ewido 4.0 2008.08.17 - F-Prot 4.4.4.56 2008.08.17 - F-Secure 7.60.13501.0 2008.08.18 - Fortinet 3.14.0.0 2008.08.18 - GData 2.0.7306.1023 2008.08.18 - Ikarus T3.1.1.34.0 2008.08.18 - K7AntiVirus 7.10.417 2008.08.15 - Kaspersky 7.0.0.125 2008.08.18 - McAfee 5362 2008.08.15 - Microsoft 1.3807 2008.08.18 - NOD32v2 3363 2008.08.18 - Norman 5.80.02 2008.08.15 - Panda 9.0.0.4 2008.08.17 - PCTools 4.4.2.0 2008.08.17 - Prevx1 V2 2008.08.18 - Rising 20.58.01.00 2008.08.18 - Sophos 4.32.0 2008.08.18 - Sunbelt 3.1.1546.1 2008.08.15 - Symantec 10 2008.08.18 - TheHacker 6.3.0.5.053 2008.08.18 - TrendMicro 8.700.0.1004 2008.08.18 - VBA32 3.12.8.3 2008.08.18 - ViRobot 2008.8.16.1338 2008.08.16 - VirusBuster 4.5.11.0 2008.08.17 - Webwasher-Gateway 6.6.2 2008.08.18 - Additional information File size: 24576 bytes MD5...: d44f0697e10c4145e8eba37258af29f6 SHA1..: 625070643c6a268b84a2283735ea6c494ecb59c2 SHA256: be9872c877774baec59f8c09cf1841673cac441e3504b1885c901b76ab00d4fc SHA512: 1af84df310ef87fd01dec67c4c5ea316dcd780f4a99d129bb822c95d4d930a85 ab88eeb65e556406bfda05d70b6a54e9eefec39ea0dc4e5600f4449e0845a3ca PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401320 timedatestamp.....: 0x3a82a484 (Thu Feb 08 13:52:04 2001) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2190 0x3000 4.04 50db773c3e9f028e58772585ef5a62ef .data 0x4000 0xb80 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x5000 0x8dc 0x1000 1.92 dac60f25e029229fc067e6b7918bf65e ( 1 imports ) > MSVBVM60.DLL: _CIcos, _adj_fptan, __vbaStrI4, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, _adj_fdiv_m64, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaExitProc, __vbaOnError, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaFpR4, _CIsin, -, -, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, DllFunctionCall, _adj_fpatan, __vbaRecUniToAnsi, EVENT_SINK_Release, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, __vbaFPException, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, -, __vbaNew2, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaStrToAnsi, __vbaRecDestructAnsi, -, _CIatan, __vbaStrMove, _allmul, _CItan, _CIexp, __vbaFreeStr, __vbaFreeObj ( 0 exports ) File Uninstall_CDS.exe received on 08.03.2008 15:30:45 (CET) Current status: finished Result: 0/36 (0.00%) Compact Compact Print results Print results Antivirus Version Last Update Result AhnLab-V3 2008.7.29.1 2008.08.02 - AntiVir 7.8.1.15 2008.08.01 - Authentium 5.1.0.4 2008.08.03 - Avast 4.8.1195.0 2008.08.02 - AVG 8.0.0.156 2008.08.02 - BitDefender 7.2 2008.08.03 - CAT-QuickHeal 9.50 2008.08.02 - ClamAV 0.93.1 2008.08.03 - DrWeb 4.44.0.09170 2008.08.03 - eSafe 7.0.17.0 2008.08.03 - eTrust-Vet 31.6.6002 2008.08.02 - Ewido 4.0 2008.08.03 - F-Prot 4.4.4.56 2008.08.03 - F-Secure 7.60.13501.0 2008.08.03 - Fortinet 3.14.0.0 2008.08.03 - GData 2.0.7306.1023 2008.08.03 - Ikarus T3.1.1.34.0 2008.08.03 - K7AntiVirus 7.10.402 2008.08.02 - Kaspersky 7.0.0.125 2008.08.03 - McAfee 5352 2008.08.01 - Microsoft 1.3807 2008.08.03 - NOD32v2 3322 2008.08.03 - Norman 5.80.02 2008.08.01 - Panda 9.0.0.4 2008.08.03 - PCTools 4.4.2.0 2008.08.03 - Prevx1 V2 2008.08.03 - Rising 20.55.62.00 2008.08.03 - Sophos 4.31.0 2008.08.03 - Sunbelt 3.1.1537.1 2008.08.01 - Symantec 10 2008.08.03 - TheHacker 6.2.96.392 2008.08.02 - TrendMicro 8.700.0.1004 2008.08.01 - VBA32 3.12.8.2 2008.08.02 - ViRobot 2008.8.1.1321 2008.08.01 - VirusBuster 4.5.11.0 2008.08.02 - Webwasher-Gateway 6.6.2 2008.08.03 - Additional information File size: 40960 bytes MD5...: ab485c92592a3ee01572910e3cb26243 SHA1..: e745ce993bc829e045ff84fb61a2cf34221ccc9b SHA256: 31356ad2c96230999e078f747b137a6bcb4105840abcc6b5cdecbee18530bce7 SHA512: 398ab0411aa326e85b48923f59c70b54c01c4747ea554afc11a22e4b9d012b1f c87f627b76272bdd845b63831bd4addd5468d11cafb391949ce3a162f6e08c57 PEiD..: Armadillo v1.71 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401dd0 timedatestamp.....: 0x404ff8b9 (Thu Mar 11 05:27:21 2004) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x47d4 0x5000 6.17 d2c028ec6e5dabed76fd60424bb693cc .rdata 0x6000 0x998 0x1000 3.71 a9b275ffd086301fd91dfe940edf99ab .data 0x7000 0x221c 0x1000 3.14 2bd2989cee70d2788ce5250e7524abc1 .rsrc 0xa000 0x1be0 0x2000 4.12 513abc3f245ad9abf5dc00b39b6e9553 ( 3 imports ) > KERNEL32.dll: GetLastError, GetSystemDirectoryA, GetWindowsDirectoryA, CreateProcessA, GetVersionExA, GetEnvironmentStringsW, VirtualFree, HeapCreate, CloseHandle, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, WaitForSingleObject, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, FlushFileBuffers, HeapReAlloc, HeapFree, RtlUnwind, WriteFile, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, MultiByteToWideChar, GetProcAddress, LoadLibraryA, SetStdHandle, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW > USER32.dll: SendMessageA, FindWindowA > ADVAPI32.dll: RegFlushKey, RegCloseKey, RegOpenKeyExA, RegQueryValueExA ( 0 exports ) |
18.08.2008, 10:08 | #8 |
/// AVZ-Toolkit Guru | Virtumonde entfernen Das sieht doch ganz gut aus.. Hast du noch Probleme?
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
18.08.2008, 20:21 | #9 |
| Virtumonde entfernen Hallo, scheint wieder alles zu passen Danke Undoreal, ich empfehl euch weiter! |
Themen zu Virtumonde entfernen |
abgesicherten modus, ad-aware, antivirus, avg, avira, dll, entfernen, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, icq, immer wieder, internet, internet explorer, messenger, microsoft, neustart, programme, rundll, software, system, trojaner, virtumonde, windows, windows xp |