| |
| |||||||
Log-Analyse und Auswertung: VirtumondeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.01.2009, 22:40
| #1 |
  |  Virtumonde Hi, hatte Virtumone auf dem PC und hab mit Spybot und Ad-Aware alles entfernt was sie diesbezüglich gefunden haben. Könnt ihr noch mein LogFile von HijackThis checken? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:36:10, on 18.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\HP DVD\Umbrella\DVDTray.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\BOINC\boinctray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\PeerGuardian2\pg2.exe C:\Programme\AIRPLUS\D-Link AirPlus DWL-120+ Wireless USB Adapter\AIRPLUS.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Java\jre6\bin\java.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\Programme\Windows Media Player\wmplayer.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: (no name) - {472F7296-0836-418B-8010-2C2BB344EF88} - C:\WINDOWS\system32\tuvSiiFU.dll (file missing) O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {A4D13F30-55A5-49BB-8B90-2A71EA9673A9} - C:\WINDOWS\system32\tuvUNfeD.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: {dbd31477-76e9-daf9-7674-b0c35e0f1b3b} - {b3b1f0e5-3c0b-4767-9fad-9e6777413dbd} - C:\WINDOWS\system32\drstex.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [DVDTray] "C:\Programme\HP DVD\Umbrella\DVDTray.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [boinctray] "C:\Programme\BOINC\boinctray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKLM\..\RunOnce: [SpybotDeletingC1429] cmd /c del "C:\WINDOWS\system32\tuvSiiFU.dll_old" O4 - HKLM\..\RunOnce: [SpybotDeletingC5475] cmd /c del "C:\WINDOWS\system32\xqqvwiax.dll_old" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe O4 - HKCU\..\RunOnce: [SpybotDeletingB3391] command /c del "C:\WINDOWS\system32\tuvSiiFU.dll_old" O4 - HKCU\..\RunOnce: [SpybotDeletingD9336] cmd /c del "C:\WINDOWS\system32\tuvSiiFU.dll_old" O4 - HKCU\..\RunOnce: [SpybotDeletingB2402] command /c del "C:\WINDOWS\system32\xqqvwiax.dll_old" O4 - HKCU\..\RunOnce: [SpybotDeletingD1712] cmd /c del "C:\WINDOWS\system32\xqqvwiax.dll_old" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BOINC Manager.lnk = C:\Programme\BOINC\boincmgr.exe O4 - Global Startup: D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk = ? O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU) O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0A62F8B6-5B0E-4690-93EF-93B4D1536C42}: NameServer = 212.77.160.129,212.77.161.100 O17 - HKLM\System\CS1\Services\Tcpip\..\{0A62F8B6-5B0E-4690-93EF-93B4D1536C42}: NameServer = 212.77.160.129,212.77.161.100 O20 - AppInit_DLLs: drstex.dll O20 - Winlogon Notify: tuvUNfeD - C:\WINDOWS\SYSTEM32\tuvUNfeD.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: BOINC - Space Sciences Laboratory - C:\Programme\BOINC\boinc.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 11192 bytes |
|
19.01.2009, 13:43
| #2 |
| /// AVZ-Toolkit Guru   | Virtumonde Halli hallo steveman
__________________ Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Überprüfe den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs. Poste danach ein frisches HJT log.
__________________ |
|
19.01.2009, 17:39
| #3 |
| | Virtumonde Ich kan Super Antimaleware und Malewarebytes nicht laden. Bekomme keine Verbindung zur jeweiligen Homepage.
__________________Mit dem Firefox und IE nicht. Blockiert Virtumonde da etwas? |
|
19.01.2009, 17:54
| #4 |
| /// AVZ-Toolkit Guru | Virtumonde Das kann Vundo nicht. Da sitzt noch mehr im System. Ist auch aus dem log ersichtlich.. Dann anders. Panda AntiRootkit
Blacklight Scanne den Rechner danach zusätzlich mit Blacklight und poste das log! (C:\fsbl.log) Evtl. Funde lasse bitte ebenfalls beheben/umbennen. GMER - Rootkit Detection
Wenn alle drei nicht laufen dann machen wir's noch anders.. 
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
19.01.2009, 17:56
| #5 |
| | Virtumonde Hallo Stevemann, versuche es doch mal im abgesicherten Modus mit Netzwerktreibern zu laden. Ich musste mich am Wochenend auch mit Virtumonde herumschlagen und hoffe das die Spezis sich mein Logfile von Hijack anschauen und mir bestätigen können das es weg ist. Ich habe nicht versucht Malwarebyte und Antimal im normalen Modus zu laden, sondern es direkt im abgesicherten Modus runtergeladen. Das hat bei mir wunderbar geklappt. Grüße nthaifisch |
|
19.01.2009, 18:21
| #6 |
| | Virtumonde Bin gerade im Abgesichterten Modus und die drei vorgeschlagen Anti Roots funktionieren auch nicht. Keine Verbindung zu den Seiten. Ah ich dreh gleich durch. |
|
19.01.2009, 18:23
| #7 |
| /// AVZ-Toolkit Guru | Virtumonde Nicht durchdrehen!  Ist alles halb so wild. Damit haben wir hier ständig zu tun. Abgesicherter bringt überhaupt nichts...
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
19.01.2009, 18:25
| #8 |
| | Virtumonde Ok was muss ich tun wenn ich wieder im normalen Modus bin? |
|
19.01.2009, 19:28
| #9 |
| | Virtumonde Ich konnte ComboFix doch irgendwie laden und habs mal durchlaufen lassen, hier das Log: Code:
ATTFilter ComboFix 09-01-19.01 - Steve 2009-01-19 19:13:10.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.767.448 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Steve\Desktop\cf.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Outdated)
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\programme\Spyware Guard 2009
c:\programme\Spyware Guard 2009\conf.cfg
c:\programme\Spyware Guard 2009\mbase.vdb
c:\programme\Spyware Guard 2009\quarantine.vdb
c:\programme\Spyware Guard 2009\queue.vdb
c:\programme\Spyware Guard 2009\spywareguard.exe
c:\programme\Spyware Guard 2009\uninstall.exe
c:\programme\Spyware Guard 2009\vbase.vdb
c:\windows\reged.exe
c:\windows\spoolsystem.exe
c:\windows\sys.com
c:\windows\syscert.exe
c:\windows\sysexplorer.exe
c:\windows\system32\aeosybbr.ini
c:\windows\system32\ccjuyyrw.dll
c:\windows\system32\ccpkqa.dll
c:\windows\system32\drivers\TDSSpaxt.sys
c:\windows\system32\drstex.dll
c:\windows\system32\dxlomy.dll
c:\windows\system32\kodbglnq.dll
c:\windows\system32\ljJyaawv.dll
c:\windows\system32\qtieuugv.dll
c:\windows\system32\rbbysoea.dll
c:\windows\system32\TDSScfum.dll
c:\windows\system32\TDSSfxwp.dll
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSnrsr.dll
c:\windows\system32\TDSSofxh.dll
c:\windows\system32\TDSSosvd.dat
c:\windows\system32\TDSSrhym.log
c:\windows\system32\TDSSriqp.dll
c:\windows\system32\TDSSsbhc.dll
c:\windows\system32\TDSStkdv.log
c:\windows\system32\tuvUNfeD.dll
c:\windows\system32\UFiiSvut.ini
c:\windows\system32\UFiiSvut.ini2
c:\windows\system32\vguueitq.ini
c:\windows\system32\winscenter.exe
c:\windows\system32\xaiwvqqx.ini
c:\windows\system32\xEMTwyxx.ini
c:\windows\system32\xEMTwyxx.ini2
c:\windows\system32\xxywTMEx.dll
c:\windows\system32\ymyjfvqk.dll
c:\windows\vmreg.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys
((((((((((((((((((((((( Dateien erstellt von 2008-12-19 bis 2009-01-19 ))))))))))))))))))))))))))))))
.
2009-01-19 18:33 . 2009-01-19 18:33 664 --a------ c:\windows\system32\d3d9caps.dat
2009-01-18 23:39 . 2009-01-18 23:39 184,832 --a------ c:\windows\system32\wgivxfdw.exe
2009-01-18 20:36 . 2009-01-18 20:36 153 --a------ c:\windows\wininit.ini
2009-01-16 16:02 . 2008-08-06 15:45 4,122,112 -ra------ c:\windows\system32\drivers\SETA6C.tmp
2009-01-15 17:20 . 2009-01-15 17:20 <DIR> d-------- c:\programme\Driver-Soft
2009-01-15 17:20 . 2007-09-02 20:56 1,686,016 --a------ c:\windows\system32\clinetsuitex6.ocx
2009-01-15 17:20 . 2004-06-14 14:56 427,864 --a------ c:\windows\system32\XceedZip.dll
2009-01-15 17:10 . 2009-01-15 17:10 23,600 --a------ c:\windows\system32\drivers\TVICHW32.SYS
2009-01-15 17:01 . 2009-01-15 17:01 <DIR> d-------- c:\programme\Realtek AC97
2009-01-08 01:02 . 2006-10-26 19:56 32,592 --a------ c:\windows\system32\msonpmon.dll
2009-01-08 01:01 . 2009-01-08 01:01 <DIR> d-------- c:\programme\Microsoft Works
2009-01-08 00:59 . 2009-01-08 00:59 <DIR> d-------- c:\programme\Microsoft.NET
2009-01-08 00:57 . 2009-01-08 00:57 <DIR> d-------- c:\windows\SHELLNEW
2009-01-08 00:56 . 2009-01-08 23:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-01-08 00:55 . 2009-01-08 00:55 <DIR> dr-h----- C:\MSOCache
2009-01-05 00:14 . 2008-11-18 10:50 330,344 --a------ c:\windows\RCoUn0.exe
2009-01-05 00:14 . 2009-01-05 00:14 2,102 -r------- c:\windows\RouterControl0_Uninstall.in
2008-12-19 17:32 . 2008-12-19 17:32 <DIR> d-------- c:\programme\Microsoft Silverlight
2008-12-19 17:30 . 2008-12-19 17:30 <DIR> d-------- c:\programme\iPod
2008-12-19 17:30 . 2008-12-19 17:31 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-19 17:27 . 2008-12-19 17:28 <DIR> d-------- c:\programme\QuickTime
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-19 18:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\BOINC
2009-01-19 16:48 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-01-19 16:48 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-18 21:46 --------- d-----w c:\programme\PeerGuardian2
2009-01-18 18:51 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2009-01-18 11:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-01-15 15:31 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DriverScanner
2009-01-06 22:01 --------- d-----w c:\dokumente und einstellungen\Steve\Anwendungsdaten\FrostWire
2009-01-04 23:14 --------- d-----w c:\programme\RouterControl
2008-12-26 01:10 --------- d-----w c:\dokumente und einstellungen\Steve\Anwendungsdaten\dvdcss
2008-12-26 00:50 --------- d-----w c:\programme\RSD_RC_Anleitung_by_Headsplitter
2008-12-19 19:41 --------- d-----w c:\programme\Yahoo!
2008-12-19 16:31 --------- d-----w c:\programme\iTunes
2008-12-19 16:30 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-17 22:41 --------- dc-h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D5ABFFAD-D592-4F98-B02B-587125B4801F}
2008-12-17 22:41 --------- d-----w c:\programme\Uniblue
2008-12-17 22:41 --------- d-----w c:\dokumente und einstellungen\Steve\Anwendungsdaten\Uniblue
2008-12-17 17:48 --------- d-----w c:\programme\TuneUp Utilities 2009
2008-12-17 17:46 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-17 17:46 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-12-17 17:41 --------- d-----w c:\programme\Steam
2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-03 22:24 --------- d-----w c:\programme\eMule
2008-12-02 17:27 --------- d-----w c:\programme\ICQ6.5
2008-12-02 17:21 --------- d-----w c:\programme\ICQ6
2008-11-27 11:38 --------- d-----w c:\programme\Java
2008-11-19 17:07 --------- d-----w c:\programme\BOINC
1999-04-23 22:22 12 --sha-w c:\windows\system\WININETICMP32.drv
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872]
"PeerGuardian"="c:\programme\PeerGuardian2\pg2.exe" [2005-09-18 1421824]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-27 136600]
"UpdateManager"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]
"DVDTray"="c:\programme\HP DVD\Umbrella\DVDTray.exe" [2004-09-03 53248]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"boinctray"="c:\programme\BOINC\boinctray.exe" [2008-09-19 58112]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-11-29 c:\windows\KHALMNPR.Exe]
"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]
c:\dokumente und einstellungen\Steve\Startmen\Programme\Autostart\
Microsoft-Indexerstellung.lnk - c:\programme\Microsoft Office\Office\FINDFAST.EXE [1996-12-13 111376]
Office-Start.lnk - c:\programme\Microsoft Office\Office\OSA.EXE [1996-12-13 51984]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-05-29 110592]
BOINC Manager.lnk - c:\programme\BOINC\boincmgr.exe [2008-09-19 4190976]
D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk - c:\programme\AIRPLUS\D-Link AirPlus DWL-120+ Wireless USB Adapter\AIRPLUS.EXE [2007-05-18 253952]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-01-09 12:30 72208 c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2007-06-16 23:17 1377010 c:\programme\SlySoft\AnyDVD\AnyDVD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG8_TRAY]
--a------ 2008-10-19 23:59 1234712 c:\progra~1\AVG\AVG8\avgtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]
--a------ 2006-12-26 01:23 643072 c:\programme\Eraser\eraser.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-11-30 14:41 172792 c:\programme\ICQ6.5\ICQ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-11-20 13:20 290088 c:\programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 c:\programme\Windows Live\Messenger\msnmsgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2007-03-23 12:20 227328 c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-11-04 10:30 413696 c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-07-07 09:42 2156368 c:\programme\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"avg8wd"=2 (0x2)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" -lang 1033
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MyMDb\\MyMDb.exe"=
"c:\\Programme\\FrostWire\\FrostWire.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-10-19 97928]
R3 TIACXUSB;D-Link AirPlus DWL-120+ Wireless USB Adapter;c:\windows\system32\drivers\tiacxusb.sys [2007-05-17 177792]
R4 BOINC;BOINC;c:\programme\BOINC\boinc.exe -daemon --> c:\programme\BOINC\boinc.exe -daemon [?]
R4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-12-17 603904]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-09-14 33752]
S3 SampleScanner;Ultima2000 Scanner;c:\windows\system32\drivers\GT680X.SYS [2008-03-23 18120]
S3 TIAcxubt;D-Link WLAN USB Boot Device;c:\windows\system32\drivers\tiacxubt.sys [2007-05-18 58752]
S4 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-10-19 231704]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2009-01-19 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]
2008-08-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
BHO-{472F7296-0836-418B-8010-2C2BB344EF88} - (no file)
BHO-{8eb5bd69-b329-4da5-b490-885b346832bb} - c:\windows\system32\ccpkqa.dll
BHO-{974EA41B-3BE5-4889-B71C-D66DCBE43D31} - c:\windows\system32\xxywTMEx.dll
BHO-{A4D13F30-55A5-49BB-8B90-2A71EA9673A9} - c:\windows\system32\tuvUNfeD.dll
HKLM-Run-spywareguard - c:\programme\Spyware Guard 2009\spywareguard.exe
ShellExecuteHooks-{A4D13F30-55A5-49BB-8B90-2A71EA9673A9} - c:\windows\system32\tuvUNfeD.dll
MSConfigStartUp-AVG7_CC - c:\progra~1\Grisoft\AVG7\avgcc.exe
MSConfigStartUp-CryptLoad - c:\dokumente und einstellungen\Steve\Desktop\cryptload\RouterClient.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/
uInternet Settings,ProxyOverride = *.local
IE: &NeoTrace It! - c:\progra~1\NEOTRA~1\NTXcontext.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {0A62F8B6-5B0E-4690-93EF-93B4D1536C42} = 212.77.160.129,212.77.161.100
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Steve\Anwendungsdaten\Mozilla\Firefox\Profiles\r6vo4fgz.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\dokumente und einstellungen\Steve\Anwendungsdaten\Mozilla\Firefox\Profiles\r6vo4fgz.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF - plugin: c:\programme\Picasa2\npPicasa2.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-19 19:18:53
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1935655697-606747145-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\
[HKEY_USERS\S-1-5-21-1935655697-606747145-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:dd,0f,82,93,55,56,55,be,53,12,73,84,66,c8,e1,99,54,32,2b,d0,4b,e8,1f,
ce,66,87,b8,22,5b,d0,b5,e4,02,bc,6e,09,8b,1e,9b,cc,9e,e4,fb,42,62,78,84,ca,\
"??"=hex:5d,c5,15,f9,86,23,ad,63,f4,15,61,df,f1,0b,f9,eb
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(912)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\BOINC\boinc.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\IoctlSvc.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\BOINC\projects\boinc.bakerlab.org_rosetta\rosetta_beta_5.98_windows_intelx86.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-19 19:26:01 - PC wurde neu gestartet [Steve]
ComboFix-quarantined-files.txt 2009-01-19 18:25:58
Vor Suchlauf: 23 Verzeichnis(se), 12,558,778,368 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 12,899,799,040 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition (bootscreen)" /fastdetect /NoExecute=OptIn kernel1.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
287 --- E O F --- 2009-01-14 14:04:00
|
|
19.01.2009, 19:32
| #10 | |
| /// AVZ-Toolkit Guru | Virtumonde Lasse jetzt die drei Rootkit Scanner durchlaufen. Deinstalliere eMule. Und update deine Clever ActiveX Software: http://www.heise.de/security/Loechri...meldung/93419/ Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter Files to delete:
c:\windows\system32\d3d9caps.dat
c:\windows\system32\wgivxfdw.exe
Folders to delete:
c:\programme\eMule
Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virtustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Geändert von undoreal (19.01.2009 um 20:13 Uhr) |
|
19.01.2009, 23:24
| #11 |
| | Virtumonde Panda hat nix gefunden. Das Blacklight Log: Code:
ATTFilter 01/19/09 19:44:58 [Info]: BlackLight Engine 2.2.1092 initialized
01/19/09 19:44:58 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/19/09 19:44:58 [Note]: 7019 4
01/19/09 19:44:58 [Note]: 7005 0
01/19/09 19:45:03 [Note]: 7006 0
01/19/09 19:45:03 [Note]: 7011 1128
01/19/09 19:45:03 [Note]: 7035 0
01/19/09 19:45:03 [Note]: 7026 0
01/19/09 19:45:03 [Note]: 7026 0
01/19/09 19:45:05 [Note]: FSRAW library version 1.7.1024
01/19/09 23:00:47 [Note]: 7007 0
GMER Log: Code:
ATTFilter GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-19 23:03:53
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.14 ----
SSDT sptd.sys ZwEnumerateKey [0xF742AFB2]
SSDT sptd.sys ZwEnumerateValueKey [0xF742B340]
---- Devices - GMER 1.0.14 ----
Device \FileSystem\Ntfs \Ntfs 82F671E8
Device \FileSystem\Fastfat \Fat 82BA7790
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.14 ----
Avanger Log: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "c:\windows\system32\d3d9caps.dat" deleted successfully.
File "c:\windows\system32\wgivxfdw.exe" deleted successfully.
Folder "c:\programme\eMule" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Virustotal Log: Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.19 -
AhnLab-V3 2009.1.20.1 2009.01.19 -
AntiVir 7.9.0.57 2009.01.19 -
Authentium 5.1.0.4 2009.01.19 -
Avast 4.8.1281.0 2009.01.19 -
AVG 8.0.0.229 2009.01.19 -
BitDefender 7.2 2009.01.19 -
CAT-QuickHeal 10.00 2009.01.19 -
ClamAV 0.94.1 2009.01.19 -
Comodo 937 2009.01.19 -
DrWeb 4.44.0.09170 2009.01.19 -
eSafe 7.0.17.0 2009.01.19 -
eTrust-Vet 31.6.6315 2009.01.19 -
F-Prot 4.4.4.56 2009.01.19 -
F-Secure 8.0.14470.0 2009.01.19 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.19 -
Ikarus T3.1.1.45.0 2009.01.19 -
K7AntiVirus 7.10.595 2009.01.19 -
Kaspersky 7.0.0.125 2009.01.19 -
McAfee 5500 2009.01.19 -
McAfee+Artemis 5500 2009.01.19 -
Microsoft 1.4205 2009.01.19 -
NOD32 3778 2009.01.19 -
Norman 5.93.01 2009.01.19 -
nProtect 2009.1.8.0 2009.01.19 -
Panda 9.5.1.2 2009.01.19 -
PCTools 4.4.2.0 2009.01.19 -
Prevx1 V2 2009.01.19 -
Rising 21.13.02.00 2009.01.19 -
SecureWeb-Gateway 6.7.6 2009.01.19 -
Sophos 4.37.0 2009.01.19 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.19 -
TheHacker 6.3.1.5.223 2009.01.18 -
TrendMicro 8.700.0.1004 2009.01.19 -
VBA32 3.12.8.10 2009.01.18 -
ViRobot 2009.1.19.1565 2009.01.19 -
VirusBuster 4.5.11.0 2009.01.19 -
weitere Informationen
File size: 4122112 bytes
MD5...: c6a08ae1248c8024117216a641d74075
SHA1..: 52445e21c813b6c8e5eec57f6891347cd637c313
SHA256: f1ae03864502fa9759ca82a7e453240b73df34f0e1815bcd64e58226cb4090e9
SHA512: daff65e1f15c4ed8bcc3624cb6bbf2b91d73b1563b4053bd88064afce8764075
fb2a8e82c474f16d47f3d276ef8bebb9387344f6c9673558c9d77a11406e30a5
ssdeep: 98304:6U16p/c+ytvAsco8QcdcPsRsYsVsrsisEsJsbIw4wqPr2GFPYIXjIJjIhC
TR:e5c+ytxco8QcdcPsRsYsVsrsisEsJsMG
PEiD..: -
TrID..: File type identification
Windows Screen Saver (47.3%)
Win32 Executable Generic (30.7%)
Clipper DOS Executable (7.2%)
Generic Win/DOS Executable (7.2%)
DOS Executable Generic (7.2%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x3ec045
timedatestamp.....: 0x48995686 (Wed Aug 06 07:45:10 2008)
machinetype.......: 0x14c (I386)
( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x500 0x1fa8bc 0x1fa8c0 6.69 4c87205a689f549fc0096471af445b2c
CODE 0x1fadc0 0x1a9 0x1c0 4.21 134f2fdfd1b04432d240ac3e1ef2b3b4
.rdata 0x1faf80 0x6fe86 0x6fec0 7.51 7dda4009b5954cd21cf12a9040922883
.data 0x26ae40 0x16b2f4 0x16b300 6.80 8f7946fee55284731657482e855c9409
.data1 0x3d6140 0x50 0x80 1.70 b8bfba04267a028046d7562f6e6a97e9
PAGE 0x3d61c0 0x5e41 0x5e80 6.43 4d9330703a7f9599ede9985678b51272
INIT 0x3dc040 0xba0 0xbc0 5.70 e958db864e107102dcff98dde7b5b0c0
.rsrc 0x3dcc00 0x490 0x4c0 3.44 8b556a6af3b2de78f893fab361a5739b
.reloc 0x3dd0c0 0x11532 0x11540 6.26 f4fe3adbe1fe0135e69c9825352ba8cc
( 3 imports )
> ntoskrnl.exe: ExAllocatePoolWithTag, ObReferenceObjectByHandle, ExEventObjectType, DbgPrint, IoIsWdmVersionAvailable, IofCompleteRequest, KeInitializeSpinLock, strstr, WRITE_REGISTER_USHORT, WRITE_REGISTER_UCHAR, WRITE_REGISTER_ULONG, READ_REGISTER_UCHAR, READ_REGISTER_USHORT, READ_REGISTER_ULONG, KeCancelTimer, InterlockedExchange, MmUnmapLockedPages, KeReleaseMutex, IoFreeMdl, MmMapLockedPages, MmMapLockedPagesSpecifyCache, MmBuildMdlForNonPagedPool, IoAllocateMdl, atoi, KeSetTimerEx, KeSaveFloatingPointState, KeRestoreFloatingPointState, RtlCompareUnicodeString, ExRegisterCallback, ExCreateCallback, KeInitializeDpc, KeInitializeTimerEx, RtlWriteRegistryValue, MmMapIoSpace, KeInitializeMutex, MmUnmapIoSpace, ExUnregisterCallback, PsTerminateSystemThread, KeWaitForMultipleObjects, KeSetPriorityThread, PsCreateSystemThread, _alldiv, _allmul, InterlockedIncrement, InterlockedDecrement, memmove, KeInsertQueueDpc, IoCreateDevice, IoDeleteDevice, ObfReferenceObject, PoStartNextPowerIrp, PoSetPowerState, KeTickCount, KeBugCheckEx, IoGetAttachedDeviceReference, KeInitializeEvent, IoBuildSynchronousFsdRequest, IofCallDriver, KeWaitForSingleObject, RtlInitUnicodeString, ZwCreateFile, ZwReadFile, ZwClose, ObfDereferenceObject, KeSetEvent, ExSetTimerResolution, ExFreePool, _allshr, RtlRaiseException, rand, strncmp, _except_handler3, ZwOpenKey, IoGetCurrentProcess, sprintf, RtlAnsiStringToUnicodeString, RtlFreeUnicodeString, ZwWriteFile, RtlUnicodeStringToAnsiString, RtlFreeAnsiString, KeSetTimer, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, memset, memcpy, strlen, strcpy, KeRemoveQueueDpc, RtlCompareMemory, KeClearEvent, _allshl
> HAL.dll: KfRaiseIrql, KfLowerIrql, READ_PORT_ULONG, READ_PORT_USHORT, READ_PORT_UCHAR, WRITE_PORT_ULONG, WRITE_PORT_UCHAR, WRITE_PORT_USHORT, KeStallExecutionProcessor, KfAcquireSpinLock, KfReleaseSpinLock, KeGetCurrentIrql
> portcls.sys: PcNewServiceGroup, PcNewInterruptSync, PcGetTimeInterval, PcInitializeAdapterDriver, PcDispatchIrp, PcAddAdapterDevice, PcRegisterAdapterPowerManagement, PcRegisterPhysicalConnection, PcNewResourceSublist, PcNewRegistryKey, PcNewPort, PcNewMiniport, PcRegisterSubdevice
( 0 exports )
|
|
20.01.2009, 14:47
| #12 |
| /// AVZ-Toolkit Guru | Virtumonde
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
20.01.2009, 19:34
| #13 |
| | Virtumonde SuperAntiSpyware Log: Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 01/20/2009 at 06:00 PM
Application Version : 4.24.1004
Core Rules Database Version : 3717
Trace Rules Database Version: 1691
Scan type : Complete Scan
Total Scan Time : 00:44:53
Memory items scanned : 498
Memory threats detected : 0
Registry items scanned : 6427
Registry threats detected : 7
File items scanned : 26656
File threats detected : 58
Rogue.SpywareGuard2008
HKLM\Software\Classes\CLSID\{3EEC0075-3B69-426C-8C31-D9C94508D35E}
HKCR\CLSID\{3EEC0075-3B69-426C-8C31-D9C94508D35E}
HKCR\CLSID\{3EEC0075-3B69-426C-8C31-D9C94508D35E}\InprocServer32
HKCR\CLSID\{3EEC0075-3B69-426C-8C31-D9C94508D35E}\InprocServer32#ThreadingModel
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\DLLS\IEMODULE.DLL
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\DLLS\VMBDEUPMSB.DLL
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Steve\Cookies\steve@ads2.sportglobal[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@sexyadultlist[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@www.netdebit-counter[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@82.98.235[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@oberon-media[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@azjmp[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@im.banner.t-online[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@achtung-sexy[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@ad.adition[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@ads.magicminds[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@windowsmedia[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@komtrack[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@ad.71i[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@adultfriendfinder[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@media.funpic[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@adserver.71i[3].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@www.ddl-warez[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@zbox.zanox[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@atwola[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@adopt.specificclick[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@adserver.71i[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@sexyadultlist[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@ads.revsci[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@ad.71i[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@adbrite[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@tacoda[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@hmt.connexpromotions[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@www.netdebit-counter[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@atwola[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@2o7[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@2o7[2].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Steve\Cookies\steve@ads.quartermedia[1].txt
Rogue.Component/Trace
HKLM\Software\Microsoft\182F38EB
HKLM\Software\Microsoft\182F38EB#182f38eb
HKLM\Software\Microsoft\182F38EB#Version
Trojan.Net-SvHoster
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\PROTECT\SVHOST.EXE
C:\WINDOWS\Prefetch\SVHOST.EXE-027261BB.pf
Rootkit.TDSServ/Fake
C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110653.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110654.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110655.DLL
Adware.Vundo/Variant
C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110702.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110689.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110690.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110691.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110692.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110693.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110695.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110696.DLL
Adware.Vundo-Variant/H
C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110694.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110697.DLL
Hab ich alles entfernen lassen. Jetzt läuft grad Anti-Maleware. |
|
21.01.2009, 22:08
| #14 |
| | Virtumonde Anti-Maleware Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1674
Windows 5.1.2600 Service Pack 2
21.01.2009 22:07:12
mbam-log-2009-01-21 (22-07-12).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 144303
Laufzeit: 53 minute(s), 7 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 17
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\ccjuyyrw.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ccpkqa.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drstex.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\dxlomy.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\kodbglnq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\qtieuugv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\rbbysoea.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSScfum.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSnrsr.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSofxh.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSriqp.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\xxywTMEx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ymyjfvqk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110656.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP88\A0110701.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP89\A0113720.dll (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{336A411C-1F5D-438F-9E7A-8AFFF7DEF376}\RP89\A0113721.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
|
|
21.01.2009, 23:14
| #15 |
| /// AVZ-Toolkit Guru | Virtumonde Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden. Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
| Themen zu Virtumonde |
| ad-aware, adobe, avg, bho, bonjour, dll, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, nvidia, plug-in, pop-up-blocker, programme, rundll, senden, software, solution, system, tuneup.defrag, usb, virtumonde, windows, windows xp |
Linear-Darstellung
