| |
| |||||||
Log-Analyse und Auswertung: Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detectedWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
05.10.2008, 14:54
| #1 |
| |  Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected Hallo Leute, auf meinem Destop steht eine Windows Warning. Win32/Adware.Virtumonde und Win32/PrivacyRemover.M64 detected. Ich bitte euch um Hilfe. Hijackthis-Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:43:53, on 05.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\National Instruments\Shared\Security\nidmsrv.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\Programme\WISO Internet Security\sched.exe C:\Programme\WISO Internet Security\avesvc.exe C:\Programme\WISO Internet Security\AVWEBGRD.EXE C:\Programme\WISO Internet Security\avmailc.exe C:\Programme\WISO Internet Security\avguard.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hXXXp://wXXXw.google.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [avgnt] "C:\Programme\WISO Internet Security\avgnt.exe" /min O4 - HKLM\..\Run: [lphc1m2j0et3v] C:\WINDOWS\system32\lphc1m2j0et3v.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe O4 - Startup: Skype.exe.lnk = C:\Programme\Skype\Phone\Skype.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hXXXp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223128664890 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hXXXp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1223128710921 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: WISO Internet Security AntiVir Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\WISO Internet Security\avfwsvc.exe O23 - Service: WISO Internet Security AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\WISO Internet Security\avmailc.exe O23 - Service: WISO Internet Security AntiVir Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\WISO Internet Security\sched.exe O23 - Service: WISO Internet Security AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\WISO Internet Security\avguard.exe O23 - Service: WISO Internet Security AntiVir WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\WISO Internet Security\AVWEBGRD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: WISO Internet Security AntiVir MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\WISO Internet Security\avesvc.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\system32\lkcitdl.exe O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments, Inc. - C:\WINDOWS\system32\lkads.exe O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments, Inc. - C:\WINDOWS\system32\lktsrv.exe O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments, Inc. - C:\Programme\National Instruments\Shared\Security\nidmsrv.exe O23 - Service: NILM License Manager - Macrovision Corporation - C:\Programme\National Instruments\Shared\License Manager\Bin\lmgrd.exe O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corp. - C:\WINDOWS\system32\nisvcloc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 8948 bytes |
|
05.10.2008, 14:57
| #2 |
| /// TB-Ausbilder     | Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected Hi,
__________________wer hat den Vundo wo gefunden? lg myrtille
__________________ |
|
05.10.2008, 15:08
| #3 |
| | Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected Hallo myrtille,
__________________versuche dir mal zu antworten ; verstehe nich ganz was du mit "Vundo" meinst. Auf meinem Windows Destop erscheint "Warning Spyware detect on your computer! Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected falls es nicht deine Frage beantwortet schreibe bitte nochmal lg jhs |
|
05.10.2008, 15:09
| #4 |
| /// TB-Ausbilder | Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected Hi, doch das beantwortet meine Frage.  Bitte scanne deinen Rechner mit Malwarebytes und lasse alle Funde löschen. Poste das Log danach hier. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
05.10.2008, 16:23
| #5 |
| | Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected Hallo myrtille, habe wie geordert habe ich den rechner mit Malwarebytes gescannt und die Funde löschen lassen. Report-Datei : Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1229
Windows 5.1.2600 Service Pack 3
05.10.2008 17:16:27
mbam-log-2008-10-05 (17-16-27).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 171384
Laufzeit: 56 minute(s), 28 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8
Infizierte Speicherprozesse:
C:\WINDOWS\system32\lphc1m2j0et3v.exe (Trojan.FakeAlert) -> Unloaded process successfully.
Infizierte Speichermodule:
C:\WINDOWS\system32\blphc1m2j0et3v.scr (Trojan.FakeAlert) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc1m2j0et3v (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\jhs\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für AHCI_Intel_v7.5.0.1017_Vista_XP.zip\AHCI_Intel_v7.5.0.1017_Vista_XP\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Programme\InstallShield Installation Information\{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Programme\InstallShield Installation Information\{AA047D7C-5E7C-4878-B75C-77589151B563}\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc1m2j0et3v.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphc1m2j0et3v.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phc1m2j0et3v.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\jhs\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\jhs\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
|
|
05.10.2008, 16:29
| #6 |
| /// TB-Ausbilder | Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected Hi, das sieht ganz gut aus. Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.) lg myrtille
__________________ --> Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected |
|
05.10.2008, 16:38
| #7 |
| | Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected hi, hier dies links zu den log files info: File-Upload.net - info.txt log: File-Upload.net - log.txt lg jhs |
|
05.10.2008, 16:45
| #8 |
| /// TB-Ausbilder | Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected Hi, ich seh in den Logs nichts auffälliges, wie geht es dem Rechner? lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
05.10.2008, 16:56
| #9 |
| | Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected Hi, also die Windows Warning auf dem Destop ist jetzt nicht mehr vorhanden. Sonst geht denke ich alles. Kann nur mit einigen Prozessen nix anfangen, finde sie komisch. anbei habe ich nen Screenshot der Prozesse. Bitte dich da mal rüber zuschauen. Lg Jhs |
|
05.10.2008, 17:04
| #10 |
| /// TB-Ausbilder | Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected Hi, ich hab die Einträge jetzt mal überflogen. Die scheinen alle legitim zu sien. Welche prozesse findest du denn seltsam? lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
05.10.2008, 17:10
| #11 |
| | Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected hi, ich konnte nix mit IKcitddl.exe / IKads.exe / IKtsrv.exe . Ich danke dir für deine schnelle und gute Hilfe !! Ist echt super hier !! lg jhs |
|
05.10.2008, 17:13
| #12 | |
| /// TB-Ausbilder | Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected Hi, Ich vermute, dass der Name kleingeschrieben ist und lkcitdl.exe heißt.  Dann gehören die Dateien zu National Instruments: Zitat:
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
05.10.2008, 17:16
| #13 |
| | Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected hi, thx für die Aufklärung. und nochmal vielen dank. lg jhs |
|
05.10.2008, 17:23
| #14 |
| /// TB-Ausbilder | Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected Hi, Gern geschehen Lieber zweimal nachfragen, als einmal was übersehen. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
| Themen zu Windows Warning: Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64 detected |
| adobe, antivir, antivir guard, avgnt, avgnt.exe, avira, bho, citadel, ctfmon.exe, detected, excel, explorer, firewall, hkus\s-1-5-18, hotkey, internet, internet explorer, internet security, konvertieren, launch, microsoft, monitor, national, pdf, pdf-datei, programme, registry, security, senden, server, software, system, windows, windows xp, windows xp sp3, wiso, xp sp3 |
Linear-Darstellung
