Trojaner Virtumonde

master1988 · 14.01.2009, 12:42

Hallo und guten Tag ihr Lieben.

Ich habe ein großes Problem mit dem Trojaner Virtumonde und das schon seit längerer Zeit.
Ich bekomme ihn einfach nicht wieder von meinem System herrunter egal ob mit Malewarebytes, Spyware S&D , a-squared free oder Spyware Doctor.

Bin da mittlerweile echt am verzweifeln möchte nur ungern mein System neu aufsetzten da dies in letzter Zeit schon desöfteren vollzogen wurde.
Darum wollte ich mich bei euch einmal schlau machen ob ihr da vielleicht mir helfen könntet.

Anbei nun mal das hijacklogfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:34:38, on 14.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CV3ZEK1T\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230143039251
O20 - AppInit_DLLs: phkqmm.dll xbqdck.dll , ,
O20 - Winlogon Notify: cbXRHbaA - cbXRHbaA.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5514 bytes

Hier auch nochmal ein log von Maleware bytes weis net ob ihr damit was anfangen könnt. :

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1638
Windows 5.1.2600 Service Pack 2

12.01.2009 00:00:46
mbam-log-2009-01-12 (00-00-46).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 45363
Laufzeit: 2 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\sefoseyo.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\nukavuso.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{173972b4-4cc2-49c8-997a-3ca9874d069e} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{173972b4-4cc2-49c8-997a-3ca9874d069e} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4c3aa6d7 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kivabeyipo (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm4f09954b (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\nukavuso.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\nukavuso.dll -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\sefoseyo.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\oyesofes.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\nukavuso.dll (Trojan.Vundo.H) -> Delete on reboot.

Nun gut hoffe das ist alles was ihr braucht um mir weiter helfen zu können.

Bedanke mich schon mal im vorraus.

Lieben Gruß phil

Haengdichweg · 14.01.2009, 14:35

Moin Master,

kann im Log leider nichts sehen

Aggro Berlin · 14.01.2009, 14:39

Bitte bei Virustotal (http://www.virustotal.com/de/) auswerten lassen:

Code:

ATTFilter

C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

Bitte deinstalliere:

Code:

ATTFilter

Spyware S&D
a-squared free
Spyware Doctor.

Lass mal bitte SUPERAntiSpyware drüber laufen.

Dann einen neuen HijackThis Log

master1988 · 15.01.2009, 11:30

Guten Morgen,
Sorry hat etwas gedauert war leider nicht zu Hause.
Habe aber alles soweit gemacht.

Hier die überprüfte Datei:

Zitat:

Datei AcroIEHelper.dll empfangen 2009.01.15 10:19:27 (CET)
Status: Beendet

Ergebnis: 0/39 (0.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.15 -
AhnLab-V3 2009.1.15.0 2009.01.15 -
AntiVir 7.9.0.54 2009.01.15 -
Authentium 5.1.0.4 2009.01.14 -
Avast 4.8.1281.0 2009.01.14 -
AVG 8.0.0.229 2009.01.14 -
BitDefender 7.2 2009.01.15 -
CAT-QuickHeal 10.00 2009.01.15 -
ClamAV 0.94.1 2009.01.15 -
Comodo 932 2009.01.15 -
DrWeb 4.44.0.09170 2009.01.15 -
eSafe 7.0.17.0 2009.01.14 -
eTrust-Vet 31.6.6309 2009.01.15 -
F-Prot 4.4.4.56 2009.01.14 -
F-Secure 8.0.14470.0 2009.01.15 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.15 -
Ikarus T3.1.1.45.0 2009.01.15 -
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.15 -
McAfee 5495 2009.01.14 -
McAfee+Artemis 5495 2009.01.14 -
Microsoft 1.4205 2009.01.15 -
NOD32 3767 2009.01.15 -
Norman 5.93.01 2009.01.13 -
nProtect 2009.1.8.0 2009.01.15 -
Panda 9.5.1.2 2009.01.14 -
PCTools 4.4.2.0 2009.01.14 -
Prevx1 V2 2009.01.15 -
Rising 21.12.32.00 2009.01.15 -
SecureWeb-Gateway 6.7.6 2009.01.15 -
Sophos 4.37.0 2009.01.15 -
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.15 -
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.15 -
VBA32 3.12.8.10 2009.01.14 -
ViRobot 2009.1.14.1559 2009.01.15 -
VirusBuster 4.5.11.0 2009.01.14 -
weitere Informationen
File size: 50376 bytes
MD5...: 0c0e1b2bcaed8df401be94d538bcb412
SHA1..: e3fda937f2e56ac310e34088c3cf32a5d372447f
SHA256: 5ee3bbba28b3fd6ce07cea286140134a79c045b5fad950856f9cacfc92a9ff1e
SHA512: 40327a3428aa9196f321896f9abc7e743d696eb83af6a63dd3c8a4d3734632b2
9ee33a94e457ad526f59c312b8027428e9993c605c223e48b68dd4e6b5c1b8c7

ssdeep: 768:/p2OIvpBefd61hbZvHnqb/+cYl2BXTW0gLBAV:MrxLJ+GX2VW0gLBAV

PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
DirectShow filter (52.6%)
Windows OCX File (32.2%)
Win32 Executable MS Visual C++ (generic) (9.8%)
Win32 Executable Generic (2.2%)
Win32 Dynamic Link Library (generic) (1.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000426d
timedatestamp.....: 0x3ec3461b (Thu May 15 07:47:39 2003)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x351e 0x4000 5.65 b173ca9cdc2bcf47287885bd092bd62f
.rdata 0x5000 0x1027 0x2000 2.96 93ddefad455493bda1f3efd4736cdfec
.data 0x7000 0x398 0x1000 1.06 8a3a11a1c62601617bfb6bf3d25f3673
.rsrc 0x8000 0x1020 0x2000 2.66 2e4bbb5e0abb48f0683929b5a4aabb67
.reloc 0xa000 0x5c0 0x1000 2.45 2cdfb032e5fa4ed677aca4fbff15b443

( 6 imports )
> KERNEL32.dll: GetShortPathNameA, GetModuleHandleA, GetModuleFileNameA, WideCharToMultiByte, FreeLibrary, SizeofResource, LoadResource, FindResourceA, GetLastError, LoadLibraryExA, lstrcmpiA, lstrcpynA, lstrlenA, HeapDestroy, GetProcAddress, LoadLibraryA, lstrcpyA, lstrcatA, GlobalDeleteAtom, GlobalGetAtomNameA, lstrcmpA, FlushInstructionCache, GetCurrentProcess, LocalFree, MultiByteToWideChar, lstrlenW, InterlockedDecrement, EnterCriticalSection, InterlockedIncrement, LeaveCriticalSection, DeleteCriticalSection, DisableThreadLibraryCalls, InitializeCriticalSection, IsDBCSLeadByte
> USER32.dll: CreateWindowExA, GetClassNameA, SetWindowLongW, CallWindowProcW, DestroyWindow, DefWindowProcA, GetWindowLongA, SetWindowLongA, IsWindowUnicode, RegisterClassA, GetParent, CallWindowProcA, CharNextA
> ADVAPI32.dll: RegDeleteValueA, RegCreateKeyExA, RegCloseKey, RegOpenKeyExA, RegEnumKeyExA, RegSetValueExA, RegQueryInfoKeyA, RegEnumValueA, RegDeleteKeyA
> ole32.dll: CoTaskMemAlloc, CoTaskMemRealloc, CoCreateInstance, CoTaskMemFree
> OLEAUT32.dll: -, -, -, -, -, -, -, -
> MSVCRT.dll: memcpy, realloc, malloc, free, __CxxFrameHandler, __1type_info@@UAE@XZ, _onexit, __dllonexit, _adjust_fdiv, _initterm, _terminate@@YAXXZ, _except_handler3, _CxxThrowException, wcstombs, strstr, memcmp, memset, __2@YAPAXI@Z, __3@YAXPAX@Z, _purecall

( 6 exports )
AcroBrwSetCallbacks, AcroBrwSubclassWindow, DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Hier der Log von Super antispyware:

Zitat:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/15/2009 at 11:17 AM

Application Version : 4.24.1004

Core Rules Database Version : 3710
Trace Rules Database Version: 1685

Scan type : Complete Scan
Total Scan Time : 00:40:43

Memory items scanned : 386
Memory threats detected : 0
Registry items scanned : 3426
Registry threats detected : 7
File items scanned : 66771
File threats detected : 93

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@msnaccountservices.112.2o7[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ads-dev.youporn[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@pcsecurityscanner[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@media6degrees[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ad.adfill[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@rambler[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@yadro[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@stats.united-domains[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@professional-virus-scanner[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@weborama[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.googleadservices[4].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@overture[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@a3.adserver01[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@a2.adserver01[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@tracking.quisma[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@kunden.wundermedia[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@serials[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@apmebf[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@eas.apm.emediate[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.etracker[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@stats.n3po[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ads.superweb[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@de.sitestat[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@m1.webstats.motigo[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@media.brandreachsys[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ads.planetactive[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@zanox-affiliate[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ad.salebroker[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@rotator.adjuggler[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ads.heias[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@bestantivirusscanner[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@zanox[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@4stats[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@mycounter.counterstation[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ads.radio[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@stats.n3po[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@tacoda[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ad.71i[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@media.funpic[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@doubleclick[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@stat.onestat[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@arcor.122.2o7[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.serials[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@atdmt[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@gotoyourclicks[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@bridge1.admarketplace[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@komtrack[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@de2.komtrack[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@de.at.atwola[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@becometrueclick[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.googleadservices[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adultfriendfinder[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.traffictrack[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@online-pc-virus-scanner[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adserver.piqs[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@traffictrack[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@aolde.122.2o7[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@atwola[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@indextools[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adtech[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@webmasterplan[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@advertising[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.zanox-affiliate[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@advanced-anti-virus-scanner[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.active-tracking[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adsrv.admediate[3].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@tracking.3gnet[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@www.googleadservices[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@serving-sys[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@avgtechnologies.112.2o7[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@adserver.trojaner-info[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@unitymedia[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@admarketplace[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@youporn[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@mediaplex[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@2o7[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ads.quartermedia[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@fsecure.122.2o7[1].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@euros4click[2].txt
C:\Dokumente und Einstellungen\Philipp\Cookies\philipp@ssl-cdn.euroclick[1].txt

Rogue.Component/Trace
HKLM\Software\Microsoft\4C3AB459
HKLM\Software\Microsoft\4C3AB459#4c3ab459
HKLM\Software\Microsoft\4C3AB459#Version
HKLM\Software\Microsoft\4C3AB459#4c3a19d9
HKLM\Software\Microsoft\4C3AB459#4c3a703c
HKU\S-1-5-21-861567501-1767777339-725345543-1003\Software\Microsoft\CS41275
HKU\S-1-5-21-861567501-1767777339-725345543-1003\Software\Microsoft\FIAS4018

Adware.Vundo Variant/LVL
C:\WINDOWS\SYSTEM32\PIWOGOME.DLL
C:\WINDOWS\SYSTEM32\SIVERAJA.DLL

Und hier das neue hijack

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:24:52, on 15.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CV3ZEK1T\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230143039251
O20 - AppInit_DLLs: phkqmm.dll xbqdck.dll , ,
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: cbXRHbaA - cbXRHbaA.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5120 bytes

Danke für die schnelle Antwort.

Gruß Phil

master1988 · 15.01.2009, 16:40

Ist mein helfer gesperrt ???

john.doe · 15.01.2009, 16:58

Keine Panik, da er mein Freund ist, werde ich übernehmen. Deinstalliere:

Code:

ATTFilter

Acrobat Reader (total veraltet)
Superantispyware (oder deaktiviere den Guard)
Onlinescanner von Bitdefender

1.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

2.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

Trojaner Virtumonde

Plagegeister aller Art und deren Bekämpfung: Trojaner Virtumonde