| |
| |||||||
Log-Analyse und Auswertung: Virtumonde! Bitte um Hilfe.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
| |
15.08.2008, 08:39
| #1 |
| |  Virtumonde! Bitte um Hilfe. Guten Morgen allerseits. Hab auf meinem System Virtumonde drauf und denke noch ein paar Würmer. Ich weis, das es hier im Forum schon mehremals drüber geschrieben wurde. Aber ich denke, dass jeder Fall anders und individuell ist, deswegen möchte ich euch bitten meine Logs anzusehen. Wenn ich mein Rechner starte kommt eine Meldung, dass die kqdpvfph.dll fehlt oder nicht gestartet werden konnte. Und da kommen noch ein paar Eingabeaufforderungsfenstar auf und gehen sofort zu. Wenn ich den Rechner runterfahre bekomme ich ein Bluescree mit der Meldung, dass Winlogon unerwaret beendet wurde oder so was in der Art. Der Spyboot findet zwei Eintäge mit Virtumonde (Log hänge ich unten an). Spysweeper meldet 4 Einträge (Virtumonde, Trojan.gen, Trojan agent, antivirus 2008; Log unten), wobei antivirus 2008 solle bereits vom Sysem weg sein. Denke es sind nur noch Registry-Einträge. Ich würde gerne die Würmer entfernen ohne ganzes System neu aufzusetzen. Bitte um Hilfe!!! HiJack-Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 06:55:32, on 15.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe C:\Programme\Antispy\AVG Anti-Spyware 7.5\guard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\system32\crypserv.exe C:\Lon\LonWorks\bin\LnsMtsSvc.exe C:\Programme\Network Associates\VirusScan\mcshield.exe C:\Programme\Network Associates\VirusScan\vstskmgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Antispy\Spy Sweeper\SpySweeper.exe C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\CCM\CcmExec.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\ICO.EXE C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\WINDOWS\system32\Pmxmiced.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Antispy\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe E:\Virtumonde\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=3061120 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file-mstga3/WOTrackingViewer/WOViewer.aspx R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=3061120 O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Programme\Analog Devices\Core\smax4pnp.exe" O4 - HKLM\..\Run: [PMX Daemon] ICO.EXE O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [38f4f854] rundll32.exe "C:\WINDOWS\system32\mxvcbdxk.dll",b O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Antispy\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [BM3bc7cbc8] Rundll32.exe "C:\WINDOWS\system32\kqdpvfph.dll",s O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: *.brooks.com O15 - Trusted Zone: *.brooks.com (HKLM) O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} (HPSDDX Class) - h**p://w*w.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab O16 - DPF: {DAF94F73-2AA6-44D8-A562-A28831820D34} (Pixum EasyUploadX Control) - h**p://w*w.pixum.de/int/EasyUpload/ImgUploader.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = brooks.com O17 - HKLM\Software\..\Telephony: DomainName = brooks.com O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = brooks.com O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Antispy\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Echelon xDriver Connection Broker (LdvxBroker) - Echelon Corporation - C:\Lon\LonWorks\bin\LdvxBroker.exe O23 - Service: Echelon Support Service for Microsoft Terminal Services (MTS) (LnsMtsSvc) - Echelon Corporation - C:\Lon\LonWorks\bin\LnsMtsSvc.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Antispy\Spy Sweeper\SpySweeper.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe -- End of file - 7961 bytes Code:
ATTFilter --- Search result list ---
Tipp des Tages: Klicken Sie auf den Balken rechts, um mehr Informationen zu sehen! ()
Virtumonde: [SBI $42352499] Benutzereinstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-223235427-762778886-1232828436-13006\Software\Microsoft\rdfa
Virtumonde: [SBI $47E741CD] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws
Virtumonde: [SBI $1F8EC695] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
Virtumonde.dll: [SBI $8E1ED839] Bibliothek (Datei, nothing done)
C:\WINDOWS\system32\wvUmJcbY.dll
Virtumonde.dll: [SBI $0EAADE49] Browser helper object (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3393C10D-A61B-455F-80C5-9BE393BF14EB}
Virtumonde.dll: [SBI $0EAADE49] Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3393C10D-A61B-455F-80C5-9BE393BF14EB}
Der kompleter Bericht liegt hier: SpybotSD.Results
 extern anschauen |
| Themen zu Virtumonde! Bitte um Hilfe. |
| adobe, antivirus, avg, bitte um hilfe, bluescree, browser, canon, entfernen, error, excel, explorer, extern, google, hijackthis, hilfe!!, hkus\s-1-5-18, internet, internet explorer, logfile, monitor, object, programme, rundll, server, software, stick, system, system neu, trojan agent, trojan.gen, virtumonde, webroot, windows, windows xp |
Baum-Darstellung