Hi! Also mein Rechner (windows XP, ca. 2 Jahre alt) hat sich Virtumonde eingefangen. Bisher haben sich flgende Probleme eingestellt:
01. Rechner läuft deutlich langsamer
02. Wenn ich den Rechner ausmache startet er automatisch neu
03. automatische Windowsupdate lässt sich nicht wieder einstellen
04. Beim Hochfahren und starten von Windows wird immer einer der folgende "Fehlermeldungn" angezeigt (allrdings nie alle gleichzeitig):

winlogon.exe konnte ordentich ausgeführt werden und muss daher geshlossen werden

inksnfrk.dll lässt sich nicht ausführen

temppwiv.dll lässt sich nicht ausführen

05. Manchmal ist es so, dass ich gar nicht ins Internet komme, wenn ich aber dann jeweils spybot durchlaufen lasse gehts wieder problemlos (jedoch verlangsamt)
06. Durch die Infizierung durch Virtumonde sehr oftes aufblenden von PopUps, auch welche von Antivirus2008 bzw 2009 die einen kostenlosen scan durchführen möchten.
07. Antivirus2008 hatte ich auch schon auf dem rechner, konnte aber wohl durch Spybot glöscht werden.

So... das sind alle Auffälligkeiten die mir momentan so einfallen.

Genutzt habe ich bisher schon folgende Programme:

spybot search&destroy

SmitfraudFix

Avast Antivirus

CounterSpy

Antivir


Die meisten von ihnen finden immer "virtumonde" bzw "virtuminde.dll"

Ich hoffe meine bisherigen Aussagen sind aussagekräftig genug um euch eine Ansatz für Hilfetipps geben zu können!
Es wäre echt super super, wenn ihr mir helfen könntet den PC s zu säubern, dass ich nciht alles komplett neu machen muss!
Danke!!!
(Hoffe ich poste den logfile richtig...!!!!!)





Code: #
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:12, on 18.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Dokumente und Einstellungen\*******\Desktop\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [BM17f8ecd8] Rundll32.exe "C:\WINDOWS\system32\bvrdlkot.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [60489467250748512678078519800368] C:\Programme\Antivirus 2009\av2009.exe
O4 - HKCU\..\Run: [s9201] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SoftLand Ltd\Antivirus 2008 XP\av2008xp.exe" /autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [Taskman] C:\WINDOWS\system32\drivers\clock.exe
O4 - HKLM\..\Policies\Explorer\Run: [DataAccess] C:\WINDOWS\clocs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143220070893[/url]
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - download.divx.com/player/DivXBrowserPlugin.cab[/url]
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - static.ak.studivz.net/photouploader/ImageUploader4.cab[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - jackpotcity.microgaming.com/49jackpotcity/FlashAX.cab[/url]
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7800AC1-D9E3-4929-B801-7A810E40E699}: NameServer = 195.50.140.114 195.50.140.252
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Hallo und

Code: Alles auswählenAufklappen

ATTFilter

Platform: Windows XP SP2 (WinNT 5.01.2600)
         

Hier fehlt mindestens das SP3!!

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
         

Du solltest wenn überhaupt nur einen Virenscanner mit aktivem Hintergrundwächter einsetzen. Mehrere kommen sich in die Quere und verbrauchen unnötig Systemresourcen.

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
         

Wer Tauschbörsen nutzt, begibt sich aufs Glatteis. Die dort zu ladenden Dateien sind meistens nicht nur illegal, sondern auch meistens randvoll vom Malware gespickt. Zudem kam Bearshare damals zumindest selber noch mit Ad- und Spyware daher...

Acker diese Punkte für weitere Analysen ab:

A.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\bvrdlkot.dll
C:\WINDOWS\system32\drivers\clock.exe
C:\WINDOWS\clocs.exe
         

B.) Führe dieses MBR-Tool aus und poste die Ausgabe

C.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

D.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

E.) Mach ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Platform: Windows XP SP2 (WinNT 5.01.2600)

Wie bekomme ich da das SP3 hin?


Hm..ich dachte bearshare schon gelöscht zu haben...strange...

Zitat:

Zitat von simsalabim

Platform: Windows XP SP2 (WinNT 5.01.2600)

Wie bekomme ich da das SP3 hin?

Abwarten. Wenn wird das erst nach der Bereinigung (sofern die sich überhaupt noch lohnt! Wir müssen erst die Ergebnisse abwarten!) installiert.

Hi!

ich versuche gerade alle o.g. schritte zu befolgen, allerdings gibts am anfang schon ein wenig probleme: Wenn ich wie bei dem einen beispiel genannt beim windowsexplorer unter ordneroptionen das häckchen für versteckte ordner anzeigen umändern will klappt dies nicht.
jedes mal wenn ich dieses häckchen wie genannt umsetze geht es sofort wieder in seine ursprüngliche Position zurück.

C:\WINDOWS\system32\bvrdlkot.dll
C:\WINDOWS\system32\drivers\clock.exe
C:\WINDOWS\clocs.exe

Wenn ich mein PC nach o.g. datein durchsuche findet er nur die 1. welche von spybot schon in einen extraordner verschoben hat (unter angewendete dateien). Darauf kann ich aber nciht zugreifen, da das mit den ausgeblendeten dateien nicht klappt...

Was meint ihr? Stelle ich mich einfach nur schlecht an...oder?

Dann überspring das und mach mit dem nächsten Schritt bitte weiter.

Ich habe so die ahnung, dass es nicht gut um den PC steht oder?, alo:

A: funktionert ja nicht....

B:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

C:

blacklight:

Code: Alles auswählenAufklappen

ATTFilter

 08/19/08 12:52:40 [Info]: BlackLight Engine 1.0.70 initialized
08/19/08 12:52:40 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/19/08 12:52:40 [Note]: 7019 4
08/19/08 12:52:40 [Note]: 7005 0
08/19/08 12:52:47 [Note]: 7006 0
08/19/08 12:52:47 [Note]: 7011 3988
08/19/08 12:52:47 [Note]: 7035 0
08/19/08 12:52:47 [Note]: 7026 0
08/19/08 12:52:47 [Note]: 7026 0
08/19/08 12:52:50 [Note]: FSRAW library version 1.7.1024
08/19/08 13:12:51 [Note]: 2000 1012
08/19/08 13:12:51 [Note]: 2000 1012
08/19/08 13:13:33 [Note]: 7007 0
         

Malwarbyte Antimalware:

würde ich gere ausführen aber es tritt folgendes auf, jedes Mal bei allen 3 versuchen:

nach ca. 35-38 Minuten hängt sich das Programm auf, hat 40-45 infizierte Objekte gefunden und ca. 76500 Dateien durchsucht.
Jedes mal hat sich das Programm gerade "TemporaryInternetfiles"-Ordner befunden.

Seit dem ich das Programm das erste Mal gestartet habe meldet mir mein AntivirProgramm gefühlte jede 5te Sekunde, oder aber mindestens wenn ich irgendein Dokumnt öffnen möchte, dass er den Trojaner monderb.fgx gefunden hätte, welchen ich natürlich jedes Mal lösche. (aber wiederum auch nicht immer...manchmal gibts auch ne 15 minuten pause)
Dieses monderb.fgx befindet sich unter: c:/WINDOWS/system32/nnnmlmgg.dll
VOR dem Start dieses Programmes ist diese Virus noch nie aufgetreten!
Wie gefährlich ist dieses Dinge und welche Funktion besitzt es?


D: noch nicht ausgeführt....da ich lieber einen weiteren Kommentar abwarten möchte und ich kein absoluter Experte in Sachen PCs bin.


E: Filelisting http://www.file-upload.net/download-...sting.txt.html




So...hoffe es gibt nun weitere Ansatzpunkte für euch. Habe alles im "normalen Modus" ausgeführt, weil ihr niht geschrieben habt, dass ich es im abgesicherten Modus hätte durchführen sollen.
Danke weitehin für die Hilfe