Hallo Experten,

ich habe seit zwei Tagen eine Fehlermeldung beim Start meines Systems. Es wird gemeckert, daß Modul Kezifimu.dll nicht geladen werden kann. Ich habe mich dann mit HiJack this und Spybot auf die Suche gemacht und bin von letzeren auf Virtumonde bzw. Virtumonde.prx aufmerksam gemacht worden. Danach habe ich den Thread von Thundro gelesen und gleich einmal mit div. Vorarbeiten begonnen. Ich poste Euch hier die Logs:

Malwarebytes Anti-Malware :

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1554
Windows 5.1.2600 Service Pack 3

27.12.2008 20:20:00
mbam-log-2008-12-27 (20-20-00).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|)
Durchsuchte Objekte: 186001
Laufzeit: 1 hour(s), 46 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\difezejo.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\bivegedu.dll (Trojan.Vundo) -> Delete on reboot.
c:\WINDOWS\system32\jeyiniyo.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c8b5488e-cab5-4708-9c76-7dcd1d7b47d5} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c8b5488e-cab5-4708-9c76-7dcd1d7b47d5} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpmb3ff4c12 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo) -> Data: c:\windows\system32\difezejo.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\difezejo.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo) -> Data: system32\difezejo.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\jeyiniyo.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\jeyiniyo.dll -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\bivegedu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\udegevib.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\jeyiniyo.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\difezejo.dll (Trojan.Vundo) -> Delete on reboot.
C:\Programme\Trend Micro\HijackThis\backups\backup-20081226-141028-935.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A1A325B7-223C-4453-AEEE-C79DDC5E1213}\RP338\A0071831.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A1A325B7-223C-4453-AEEE-C79DDC5E1213}\RP340\A0072319.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dagilure.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dataheme.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bowafefi.dll_old (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bejifafo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.


Die Logs von RSIT habe ich als Anlagen beigefügt, um den Thread nicht unnötig in die Länge zu ziehen. Da die erlaubten Dateigrößen der Anlagen sehr klein sind mußte ich die Dateien splitten. Ich hoffe das mir jemand von Euch helfen kann. Laut dem Threa vonThundro wäre der nächste Schritt die Bereinigung mit Avenger. Dieser ist bereits auf meiner Platte un wartet hungrig auf Futter.

Ich danke Euch im voraus für Eure Hilfe.

Liebe Grüße
TE

Hallo Experts,

hat denn keiner eine Idee ? Danke !!!

Lg
Chris

Die Meldung kommt also beim Systemstart ?

Code: Alles auswählenAufklappen

ATTFilter

 Start --> Ausführen --> msconfig --> Systemstart --> Bei allem unnötigem Zeugs den Haken raus
         

Oder mach einen Screenshot von deinem Systemstart.
Mehr kann ich leider auch nicht machn

Hallo DeeWayne!

Erstmal danke für Deine Antwort. msconfig habe ich schon ausgeräumt. Die ist bei mir eigentlich immer am minimum um langes laden zu vermeiden.
Ja die Meldung kommt beim Start von Win XP Prof. SP3 (inkl. sämtlicher Patches).

Sollte jemand noch ´ne Idee haben, so würde ich sie gerne hören.

Lg
TE