Hallo,
ich habe das Problem, dass ich mir irgendwie Virtumone eingefangen hab. Ich weiß nicht genau, was der Trojaner (laut Spybot-S&D ist das wohl ein Trojaner) eigentlich macht, aber ich habe ihn bemerkt, als ich bei Google nicht mehr zur Bildersuche kam und ich auch bei der normalen suche immer nur die erste Seite der Ergebnisse betrachten konnte. Spybot-S&D brachte dann zum Vorschein, dass Virtumonde mit verschienenen Dateiendungen auf meinem Rechner vorhanden sei. Nachdem ich versucht hatte mit Spybot den Trojaner zu beseitigen funktionierte zwar Google wieder einwandfrei, jedoch habe ich immernoch das Problem, dass sich mein Rechner einfach wieder Hochfährt, wenn ich auf Ausschalten gehe. Außerdem denke ich, dass Virtumone auch so noch Schaden im Hintergrund anrichtet.
Ich finde bei Spybot nun immernoch Virtumonde, aber nicht mehr so viele.
Meine Fragen wären also zunächst vielleicht kurz, was Virtumone eigentlich ist und was es macht, und dann natürlich, wie ich es am besten loswerde.


Mein HjT Log:

Logfile of Trend Micro HjT v2.0.2
Scan saved at 17:15:29, on 03.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system\CmSNXeye.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://w*w.google.de/
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ec7d399f] rundll32.exe "C:\WINDOWS\system32\sqwbdckx.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 3542 bytes


Dazu hätte ich nur noch zu ergänzen, dass ich erst vor 1-2 Monaten Formatiert hatte und mich leider noch nicht mit einem umfassenden Virenschutz (sofern es den denn überhaupt geben sollte) eingedeckt habe.
Ich habe im Moment nur Spybot-S&D auf meinem Rechner, weil solche Programme wie AntiVir meiner Meinung nach sowieso keinen Nutzen haben (hat bei mir noch nie viel gefunden udn konnte es nie beseitigen, trotz permanenter Updates) und macht nur den Pc langsamer (was mir beim Online-spielen häufig aufgefallen ist).


Ich hoffe, dass ihr mir hier helfen könnt, aber eigentlcih bin ich mir da schon sehr sicher


mfG KonK

hallo

ich bin zwar kein Profi
aber ein Virenschutz ist PFLICHT!!

MFG

Aggro Berlin

Das hilft mir gerade nicht besonders...

hallöle

also für die zukunft weist du ein Virenschutz ist Pflicht!!!

ehrlich gesagt halte ich nicht viel von Spybot-S&D ,
aufjedenfall scanne dein System mit SUPERAntiSpyware und Anti-Maleware und mit Blacklight!!!

mfg

Ok, also hier dann mal mein

SUPERAntiSpyware Log:

h*p://w*w.superantispyware.com

Generated 09/03/2008 at 10:23 PM

Application Version : 4.20.1046

Core Rules Database Version : 3556
Trace Rules Database Version: 1544

Scan type : Complete Scan
Total Scan Time : 02:25:21

Memory items scanned : 358
Memory threats detected : 5
Registry items scanned : 4710
Registry threats detected : 29
File items scanned : 139756
File threats detected : 34

Trojan.Dropper/WinCtrl32
C:\WINDOWS\SYSTEM32\WINJGF32.DLL
C:\WINDOWS\SYSTEM32\WINJGF32.DLL
Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\winjgf32

Trojan.Vundo-Variant/Small-GEN
C:\WINDOWS\SYSTEM32\KHFCTQGE.DLL
C:\WINDOWS\SYSTEM32\KHFCTQGE.DLL

Adware.Vundo Variant/Resident
C:\WINDOWS\SYSTEM32\LJJAQJHH.DLL
C:\WINDOWS\SYSTEM32\LJJAQJHH.DLL

Trojan.Downloader-NewJuan/VM
C:\WINDOWS\SYSTEM32\HLETFH.DLL
C:\WINDOWS\SYSTEM32\HLETFH.DLL
C:\WINDOWS\SYSTEM32\BXTLFLEH.DLL
C:\WINDOWS\SYSTEM32\BXTLFLEH.DLL

Trojan.Vundo-Variant/NextGen
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D6AEEADC-7733-4AA6-9CC3-2A0415F73416}
HKCR\CLSID\{D6AEEADC-7733-4AA6-9CC3-2A0415F73416}
HKCR\CLSID\{D6AEEADC-7733-4AA6-9CC3-2A0415F73416}\InprocServer32
HKCR\CLSID\{D6AEEADC-7733-4AA6-9CC3-2A0415F73416}\InprocServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D749BC2E-05D8-47D5-9076-6DC5E31E00AB}
HKCR\CLSID\{D749BC2E-05D8-47D5-9076-6DC5E31E00AB}
HKCR\CLSID\{D749BC2E-05D8-47D5-9076-6DC5E31E00AB}\InprocServer32
HKCR\CLSID\{D749BC2E-05D8-47D5-9076-6DC5E31E00AB}\InprocServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks#{D6AEEADC-7733-4AA6-9CC3-2A0415F73416}
Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\khfCtQge

Trojan.Vundo-Variant/NextGen-Six
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ec1023ae-9060-415a-a24d-fc9692c8e61f}
HKCR\CLSID\{EC1023AE-9060-415A-A24D-FC9692C8E61F}
HKCR\CLSID\{EC1023AE-9060-415A-A24D-FC9692C8E61F}\InprocServer32
HKCR\CLSID\{EC1023AE-9060-415A-A24D-FC9692C8E61F}\InprocServer32#ThreadingModel
C:\WINDOWS\SYSTEM32\LEXBXN.DLL

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\KonK\Cookies\konk@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@zanox[2].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@adserver.easyad[1].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@toplist[2].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@media.funpic[1].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@atwola[1].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@www.mediasoftwareapps[1].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@serving-sys[2].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@adserver.71i[1].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@2o7[1].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@advertising[1].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@ads.mods[1].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@ad.zanox[2].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@wmvmedialease[1].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@1067912086[2].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\KonK\Cookies\konk@bs.serving-sys[1].txt

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\MSSMGR#Data
HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#BSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#MSLIST
HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd
HKLM\SOFTWARE\Microsoft\MSSMGR#SSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#SCLIST
HKLM\SOFTWARE\Microsoft\MSSMGR#SSLIST
HKLM\SOFTWARE\Microsoft\MSSMGR#PSTV

Adware.Vundo Variant/Rel
HKLM\SOFTWARE\Microsoft\aoprndtws
HKLM\SOFTWARE\Microsoft\FCOVM
HKLM\SOFTWARE\Microsoft\RemoveRP
HKU\S-1-5-21-1454471165-1563985344-725345543-1004\Software\Microsoft\rdfa
C:\WINDOWS\SYSTEM32\MCRH.TMP

Adware.Vundo Variant
C:\WINDOWS\SYSTEM32\ANAOHO.DLL
C:\WINDOWS\SYSTEM32\AXJDDGBH.DLL
C:\WINDOWS\SYSTEM32\DEOWQSTB.DLL
C:\WINDOWS\SYSTEM32\IRRNMIBU.DLL
C:\WINDOWS\SYSTEM32\MWMXTOSF.DLL
C:\WINDOWS\SYSTEM32\NGQSXP.DLL
C:\WINDOWS\SYSTEM32\QTJGWYTU.DLL
C:\WINDOWS\SYSTEM32\SJMFFFRM.DLL
C:\WINDOWS\SYSTEM32\TWWFOULO.DLL
C:\WINDOWS\SYSTEM32\ZEKCQR.DLL


PS: Ich habe festgestellt, dass ich mich in der Topic, sowie in meinem ersten Post vertippt habe. Ich habe natürlich ein Problem mit "Virtumonde" nicht mit "Virtumone" ^^

Hallo,
Lade folgende Datei bei VirusTotal - Free Online Virus and Malware Scan hoch und poste den vollständigen bericht!

Zitat:

C:\WINDOWS\system32\sqwbdckx.dll

Lasse auch versteckte dateien und system dateien anzeigen!

Nach dem hochladen lässt du Malwarebytes Scannen! So wie es hier steht Malwarebytes


@Aggro Berlin Man kann nicht jedes problem mit SUPERAntiSpyware in den griff bekommen! Schau doch noch etwas zu und lerne! Das ist das was mir am anfang auch gesagt wurde!