Win32/Adware.Virtumonde iifeEWpQ.dll

danielsun47 · 23.08.2008, 11:35

hallo leute,

ich bräuchte mal eure hilfe.

ich habe mir gestern eine spyware/adware eingefangen, die sich mit hilfe mehrerer antivirenprogramme nicht beseitigen ließ. erst ESET SMART SECURITY hat das problem überhaupt identifziert.

das hauptproblem ist scheinbar eine datei namens iifeEWpQ.dll

aber er hat auch einige andere .dll `s gefunden. (ich poste im anschluß an den hijackthis-log den eset-log)

eset kann diese nicht löschen, verschiebt sie nur in quarantäne, was dem prog scheinbar nichts anhaben kann.

internet ist ganz bzw. teilweise ausgefallen. ab und zu werden selbsttätig sites geöffnet. ständig gibt es bluescreens und windows fehlermeldungen (zuweisungen usw..)

ok. hier also der hijackthis-log

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:02, on 22.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\ESET\ESET Smart Security\ekrn.exe
C:\Programme\RichiStudios\Shutdown\service.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\ESET\ESET Smart Security\egui.exe
C:\windows\system32\Rundll32.exe
C:\windows\system32\rundll32.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe
C:\windows\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\D*****\Desktop\HiJackThis.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [Rundll34] C:\windows\system32\winupx.exe
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [d89162c7] rundll32.exe "C:\windows\system32\qqibhlmf.dll",b
O4 - HKLM\..\Run: [BMdba2515b] Rundll32.exe "C:\windows\system32\yclblfeo.dll",s
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [wzc - konfigurationsfreier dienst für drahtlos ..] C:\windows\System32\svchost.exe -k netsvcs
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Somefox] C:\DOKUME~1\Daniel\LOKALE~1\Temp\B2.tmp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll
O9 - Extra button: Send to Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\windows\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - h**p://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - h**p://217.6.60.101/blazer/webinstall.cab
O20 - AppInit_DLLs: vjfklv.dll itmajb.dll,dgfqol.dll oxtzqv.dll
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\windows\system32\syshd.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\RichiStudios\Shutdown\service.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4882 bytes

so, und hier noch die von eset erkannten problemdateien

dies ist die häufigste meldung:

23.08.2008 10:19:55 Echtzeit-Dateischutz Datei C:\windows\system32\iifeEWpQ.dll Win32/Adware.Virtumonde Anwendung Gesäubert durch Löschen (nach dem nächsten Neustart) - in Quarantäne kopiert NT-AUTORITÄT\SYSTEM Ereignis aufgetreten beim Versuch, die Datei zu öffnen durch die Anwendung: \??\C:\windows\system32\winlogon.exe.

dann diese hier:

22.08.2008 23:27:29 HTTP-Prüfung Datei http://62.4.83.205/kb65666.exe?&uid=117741D6703811DDA069161827CFFFFF&rid=mm2&guid=34627F40134D48259678C81BA295472B&affid=161827 Win32/Adware.Virtumonde Anwendung Verbindung getrennt - in Quarantäne kopiert L******\D***** Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\WINDOWS\explorer.exe.

22.08.2008 23:22:53 Echtzeit-Dateischutz Datei C:\WINDOWS\SYSTEM32\MSXML71.DLL Win32/Adware.BHO.NDL Anwendung Gesäubert durch Löschen - in Quarantäne kopiert NT-AUTORITÄT\SYSTEM Ereignis aufgetreten beim Versuch, die Datei zu öffnen durch die Anwendung: C:\windows\explorer.exe.

22.08.2008 23:21:18 HTTP-Prüfung Datei http://207.226.178.149/fa07.dll Variante von Win32/Adware.Virtumonde.NBE Anwendung Verbindung getrennt - in Quarantäne kopiert L******\D***** Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\WINDOWS\explorer.exe.

> ich hoffe ihr könnt mir helfen. ich wäre euch sehr dankbar.

bis dann.

danielsun

Win32/Adware.Virtumonde iifeEWpQ.dll

Log-Analyse und Auswertung: Win32/Adware.Virtumonde iifeEWpQ.dll

Win32/Adware.Virtumonde iifeEWpQ.dll

Ähnliche Themen: Win32/Adware.Virtumonde iifeEWpQ.dll