| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Virtumonde.DLL endgültig weg nach Combo-Fix?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.09.2009, 18:26
| #1 |
 |  Virtumonde.DLL endgültig weg nach Combo-Fix? Hallo liebes Spezialisten-Team, ich brauche ganz dringend mal Eure Hilfe. Vor rund 2 Wochen hat mein Spybot Search & Destroy mir gesagt, daß ich den Trojaner: Virtumonde.DLL auf dem Rechner hätte. Ich konnte ihn löschen, um ihn sofort beim nächsten Scan wieder zu haben. Danach fing ich an, zu googlen und fand so Einiges zu dem Thema. U.a. auch daß die beste Bekämpfung wäre, wenn man den „Combo Fix“ drüberlaufen läßt. Auch mein PC-Fachmann riet mir dazu. Ich rief aber auch ganz enttäuscht bei Kaspersky an und fragte, wie es sein könnte, daß der Kaspersky Internet Security 2010 den Trojaner nicht erkennen würde. Sie tippten sofort auf einen Fehlalarm von Spybot. Allerdings glaubte ich nicht so ganz daran und ließ den Kaspersky im abgesicherten Modus durchlaufen. Auch hier fand er leider nichts. Der Spybot immer wieder dasselbe. Mein Betriebssystem ist Windows XP. Ich weiß nicht, was Sie noch alles brauchen. Dann versuchte ich die Infos zu besorgen. Denn, ich muß dazu sagen, daß ich absoluter Laie auf dem Gebiet bin. Mit so einem Trojaner hatte ich es bisher noch nicht zu tun gehabt. Bisher konnte ich die, die gefunden wurden, auch problemlos löschen mit Kaspersky. Mir blieb also nichts Anderes übrig, als gestern den „Combo-Fix“ durchlaufen zu lassen. Vorher hatte ich natürlich Spybot runtergeschmissen, die Firewall deaktiviert ( war sie aber ) und den Kaspersky 2010 beendet. Anbei habe ich mal den Logfile angehängt und hoffe, Ihr könnt mir helfen und sagen, ob mein System nun sauber ist oder ob ich noch mehr säubern muß. Ein Neuaufsetzen geht im Moment leider nicht, da ich gerade schon eine dicke Rechnung für den Computer bezahlt habe. Ich hoffe sehr, daß der Combo-Fix seine Dienste geleistet hat. Schaut Euch bitte mal den Logfile an und editiert bitte gegebenenfalls alles, was ich vergessen habe, zu verschlüsseln. Was ja in dem Wirrwarr durchaus sein kann. Es gibt noch einen Link, den habe ich aber gelassen. Wußte nicht, ob ich ihn verschlüsseln sollte oder nicht. Schonmal ganz lieben Dank im Voraus für Eure Hilfe. Michael ComboFix 09-09-05.03 - *** 06.09.2009 14:19.1.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3071.2626 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0} FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\recycler\S-1-5-21-2025429265-436374069-1801674531-1003 . ((((((((((((((((((((((( Dateien erstellt von 2009-08-06 bis 2009-09-06 )))))))))))))))))))))))))))))) . 2009-08-31 11:57 . 2009-08-31 11:57 664 ----a-w- c:\windows\system32\d3d9caps.dat 2009-08-29 21:21 . 2009-08-29 21:21 -------- d-----w- c:\windows\system32\wbem\Repository . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-09-06 12:02 . 2008-12-12 13:53 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-09-06 12:02 . 2008-12-12 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-09-06 11:59 . 2009-08-04 08:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-08-29 16:18 . 2009-08-04 09:42 -------- d-----w- c:\programme\Trillian 2009-08-05 08:59 . 2008-12-03 11:25 206336 ----a-w- c:\windows\system32\mswebdvd.dll 2009-08-04 09:03 . 2009-05-24 13:30 128016 ----a-w- c:\windows\system32\drivers\kl1.sys 2009-08-04 08:57 . 2009-08-04 08:57 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat 2009-08-04 08:54 . 2009-08-04 08:54 94643 ----a-w- c:\windows\system32\drivers\klick.dat 2009-08-04 08:54 . 2009-08-04 08:54 105395 ----a-w- c:\windows\system32\drivers\klin.dat 2009-08-04 08:53 . 2009-08-04 08:53 -------- d-----w- c:\programme\Kaspersky Lab 2009-08-04 08:23 . 2008-12-06 12:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2009-07-29 09:35 . 2009-07-29 09:35 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Canneverbe_Limited 2009-07-29 09:35 . 2008-12-06 12:13 29856 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-07-29 09:35 . 2009-07-29 09:35 -------- d-----w- c:\programme\CDBurnerXP 2009-07-27 13:02 . 2008-12-03 11:25 80290 ----a-w- c:\windows\system32\perfc007.dat 2009-07-27 13:02 . 2008-12-03 11:25 448726 ----a-w- c:\windows\system32\perfh007.dat 2009-07-27 12:50 . 2009-07-27 12:50 -------- d-----w- c:\programme\MSBuild 2009-07-27 12:50 . 2009-07-27 12:50 -------- d-----w- c:\programme\Reference Assemblies 2009-07-17 19:01 . 2008-12-03 11:24 58880 ----a-w- c:\windows\system32\atl.dll 2009-07-17 19:01 . 2008-12-03 11:24 58880 ----a-w- c:\windows\system32\atl(2)(2).dll 2009-07-15 12:04 . 2009-07-15 12:04 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\TuneUp Software 2009-07-15 12:03 . 2009-07-15 12:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software 2009-07-15 12:03 . 2009-07-15 12:03 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} 2009-07-15 11:38 . 2008-12-12 13:32 -------- d-----w- c:\programme\Trillian ALT 2009-07-12 10:21 . 2008-12-03 11:25 233472 ----a-w- c:\windows\system32\wmpdxm.dll 2009-07-03 16:55 . 2008-12-03 11:25 915456 ----a-w- c:\windows\system32\wininet.dll 2009-06-16 14:36 . 2008-12-03 11:25 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-16 14:36 . 2008-12-03 11:24 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-06-15 10:43 . 2008-12-03 11:25 78848 ----a-w- c:\windows\system32\telnet.exe 2009-06-10 14:13 . 2008-12-03 11:24 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-06-10 07:19 . 2008-12-03 11:35 2066432 ----a-w- c:\windows\system32\mstscax.dll 2009-06-10 06:14 . 2008-12-03 11:25 132096 ----a-w- c:\windows\system32\wkssvc.dll 2009-06-10 06:14 . 2008-12-03 11:25 132096 ----a-w- c:\windows\system32\wkssvc(2)(2).dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016] "RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240] "PDVD8LanguageShortcut"="c:\programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472] "CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696] "CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "avp"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-05-25 303376] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-05-16 16862720] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-17 1657376] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Nero BackItUp Scheduler 3"=2 (0x2) "LightScribeService"=2 (0x2) "NMIndexingService"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Trillian\\trillian.exe"= R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15.12.2008 20:41 33808] R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16.09.2008 13:03 169312] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.05.2009 17:46 31760] R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16.05.2009 20:59 19472] S4 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [03.12.2008 13:25 77312] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe" . Inhalt des "geplante Tasks" Ordners 2009-09-05 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2009-09-05 c:\windows\Tasks\User_Feed_Synchronization-{011E65EF-EEDD-45A8-9375-D587BC6F8FB6}.job - c:\windows\system32\msfeedssync.exe [2007-08-13 02:31] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://domain.de/ IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7khhru3l.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.domain.de/|http://www.domain.de/firefox?client=firefox-a&rls=org.mozilla:de  fficialFF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net Rootkit scan 2009-09-06 14:28 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}] @Denied: (A 2) (Everyone) @="IFlashBroker3" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(3820) c:\windows\system32\webcheck.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\rundll32.exe c:\programme\Canon\IJPLM\ijplmsvc.exe c:\programme\CDBurnerXP\NMSAccessU.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\IoctlSvc.exe c:\windows\system32\wdfmgr.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-09-06 14:30 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-09-06 12:30 Vor Suchlauf: 5 Verzeichnis(se), 144.335.937.536 Bytes frei Nach Suchlauf: 5 Verzeichnis(se), 144.810.303.488 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect 166 --- E O F --- 2009-08-26 22:42 |
| Themen zu Virtumonde.DLL endgültig weg nach Combo-Fix? |
| abgesicherten modus, adobe, avp, avp.exe, c.exe, c:\windows\system32\rundll32.exe, components, computer, desktop, dringend, einstellungen, fehlalarm, firefox, firewall, firewall deaktiviert, google, gservice, home, immer wieder, internet, internet security, internet security 2010, kaspersky, laufende prozesse, logfile, löschen, malware, mozilla, nicht erkennen, opera, photoshop, programme, rthdcpl.exe, rundll, scan, security, suchlauf, trojaner, virtumonde.dll, windows, windows recovery, windows xp. |
Baum-Darstellung