Trojaner-Board - virenbefall, vermutlich virtumonde

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - virenbefall, vermutlich virtumonde (https://www.trojaner-board.de/50706-virenbefall-vermutlich-virtumonde.html)

virenbefall, vermutlich virtumonde

hi, wie mir counter spy sagt, habe ich mir anscheinend den virtumonde-virus eingefangen, bringe ihn aber damit nicht weg. mein problem äussert sich insofern, dass sich bei allen anwendungen der explorer alle paar sekunden aufhängt, alles verschwindet, einen schwarzen bildschirm zurücklässt und ich nur noch in dem fenster arbeiten kann, in dem ich mich gerade befinde. auch wenn ich den explorer im taskmanager starte, bleibt es nicht lang so.

finde den edit-button nicht ...

also, da ich verwarnt wurde, versuche ich es noch einmal.
mein system: windows xp professional m. service pack 2 und breitbandverbindung

verwendeter browser: mozilla firefox, aktuell

symptome: explorer hängt sich nach kurzer zeit nach dem booten auf, der bildschirm wird schwarz, sehe nur noch den cursor und wenn ich es geschafft habe, vorher ein fenster zu öffnen, kann ich nur noch in selbigem navigieren. auffällig ist, dass explorer.exe nicht unter den laufenden prozessen ist. kann ihn per neuem task starten, dann erscheint alles wieder, aber das ist nur von kurzer dauer
vielleicht sollte ich noch erwähnen, dass ich, wenn ich zum start hin gleich eins der virenprogramme starte, mir angezeigt wird, dass ein programm versucht, auf die internetverbindung zuzugreifen, zu der adresse "cna.secdep.info"

verwendete bekämpfungsmittel (jedoch bisher ohne erfolg): sunbeltsoftware counter spy, findet die adware "virtumonde" mit mehreren einträgen. kann diese in die quarantäne verschieben oder von dort aus zum nächstens startup hin löschen, es kommt immer wieder bzw. das problem besteht weiterhin.
smitfraud fix, scheint leider auch nichts zu helfen
escan av für windows, habe ich versucht zu installieren, ohne erfolg

schädlinge: virtumonde, keine ahnung, wo er sich eingenistet hat, hijackthis hatte noch eine datei namens "wvurpoo.dll" (oder so ähnlich) gefunden, die als unbekannt angezeigt wurde und die mir sehr spanisch vorkam

zur vervollständigung vll. noch meine laufenden tasks:

wuauclt.exe mein name
firefox.exe mein name
taskmgr.exe mein name
ctfmon.exe mein name
SBCSTray.exe mein name
realsched.exe mein name
jusched.exe mein name
rundll32.exe mein name
spooslv.exe SYSTEM
svchost.exe LOKALER DIENST
wdfmgr.exe LOKALER DIENST
svchost.exe NETZWERKDIENST
SVCSSvc.exe SYSTEM
svchost.exe SYSTEM
svchost.exe SYSTEM
lsass.exe SYSTEM
services.exe SYSTEM
winlogon.exe SYSTEM
csrss.exe SYSTEM
nvsvc32.exe SYSTEM
smss.exe SYSTEM
alg.exe LOKALER DIENST
System SYSTEM
Leerlaufprozess SYSTEM

hier nun noch meine hijackthis-logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:33:46, on 19.03.2008

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\PnkBstrA.exe

C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{F0F3FF92-51E4-4E3B-A595-21BEB5DC5E7F}: NameServer = 213.191.74.11 213.191.92.82

O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\System32\windows (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe

O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
 

--

End of file - 3073 bytes

findet auch nichts, prangert nur dieses als unbekannt an

Code:

O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\System32\windows (file missing)