Virtumonde.DLL endgültig weg nach Combo-Fix?
 

Hallo liebes Spezialisten-Team,

ich brauche ganz dringend mal Eure Hilfe. Vor rund 2 Wochen hat mein Spybot Search & Destroy mir gesagt, daß ich den Trojaner: Virtumonde.DLL auf dem Rechner hätte. Ich konnte ihn löschen, um ihn sofort beim nächsten Scan wieder zu haben. Danach fing ich an, zu googlen und fand so Einiges zu dem Thema. U.a. auch daß die beste Bekämpfung wäre, wenn man den „Combo Fix“ drüberlaufen läßt. Auch mein PC-Fachmann riet mir dazu. Ich rief aber auch ganz enttäuscht bei Kaspersky an und fragte, wie es sein könnte, daß der Kaspersky Internet Security 2010 den Trojaner nicht erkennen würde. Sie tippten sofort auf einen Fehlalarm von Spybot. Allerdings glaubte ich nicht so ganz daran und ließ den Kaspersky im abgesicherten Modus durchlaufen. Auch hier fand er leider nichts. Der Spybot immer wieder dasselbe.

Mein Betriebssystem ist Windows XP. Ich weiß nicht, was Sie noch alles brauchen. Dann versuchte ich die Infos zu besorgen. Denn, ich muß dazu sagen, daß ich absoluter Laie auf dem Gebiet bin. Mit so einem Trojaner hatte ich es bisher noch nicht zu tun gehabt. Bisher konnte ich die, die gefunden wurden, auch problemlos löschen mit Kaspersky.

Mir blieb also nichts Anderes übrig, als gestern den „Combo-Fix“ durchlaufen zu lassen. Vorher hatte ich natürlich Spybot runtergeschmissen, die Firewall deaktiviert ( war sie aber ) und den Kaspersky 2010 beendet.

Anbei habe ich mal den Logfile angehängt und hoffe, Ihr könnt mir helfen und sagen, ob mein System nun sauber ist oder ob ich noch mehr säubern muß. Ein Neuaufsetzen geht im Moment leider nicht, da ich gerade schon eine dicke Rechnung für den Computer bezahlt habe. Ich hoffe sehr, daß der Combo-Fix seine Dienste geleistet hat.

Schaut Euch bitte mal den Logfile an und editiert bitte gegebenenfalls alles, was ich vergessen habe, zu verschlüsseln. Was ja in dem Wirrwarr durchaus sein kann. Es gibt noch einen Link, den habe ich aber gelassen. Wußte nicht, ob ich ihn verschlüsseln sollte oder nicht.

Schonmal ganz lieben Dank im Voraus für Eure Hilfe.

Michael


ComboFix 09-09-05.03 - *** 06.09.2009 14:19.1.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3071.2626 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-2025429265-436374069-1801674531-1003

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-06 bis 2009-09-06 ))))))))))))))))))))))))))))))
.

2009-08-31 11:57 . 2009-08-31 11:57 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-29 21:21 . 2009-08-29 21:21 -------- d-----w- c:\windows\system32\wbem\Repository

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-06 12:02 . 2008-12-12 13:53 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-09-06 12:02 . 2008-12-12 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-06 11:59 . 2009-08-04 08:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-08-29 16:18 . 2009-08-04 09:42 -------- d-----w- c:\programme\Trillian
2009-08-05 08:59 . 2008-12-03 11:25 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-04 09:03 . 2009-05-24 13:30 128016 ----a-w- c:\windows\system32\drivers\kl1.sys
2009-08-04 08:57 . 2009-08-04 08:57 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat
2009-08-04 08:54 . 2009-08-04 08:54 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-08-04 08:54 . 2009-08-04 08:54 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-08-04 08:53 . 2009-08-04 08:53 -------- d-----w- c:\programme\Kaspersky Lab
2009-08-04 08:23 . 2008-12-06 12:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-07-29 09:35 . 2009-07-29 09:35 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Canneverbe_Limited
2009-07-29 09:35 . 2008-12-06 12:13 29856 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-29 09:35 . 2009-07-29 09:35 -------- d-----w- c:\programme\CDBurnerXP
2009-07-27 13:02 . 2008-12-03 11:25 80290 ----a-w- c:\windows\system32\perfc007.dat
2009-07-27 13:02 . 2008-12-03 11:25 448726 ----a-w- c:\windows\system32\perfh007.dat
2009-07-27 12:50 . 2009-07-27 12:50 -------- d-----w- c:\programme\MSBuild
2009-07-27 12:50 . 2009-07-27 12:50 -------- d-----w- c:\programme\Reference Assemblies
2009-07-17 19:01 . 2008-12-03 11:24 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 19:01 . 2008-12-03 11:24 58880 ----a-w- c:\windows\system32\atl(2)(2).dll
2009-07-15 12:04 . 2009-07-15 12:04 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\TuneUp Software
2009-07-15 12:03 . 2009-07-15 12:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-07-15 12:03 . 2009-07-15 12:03 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-07-15 11:38 . 2008-12-12 13:32 -------- d-----w- c:\programme\Trillian ALT
2009-07-12 10:21 . 2008-12-03 11:25 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2008-12-03 11:25 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-16 14:36 . 2008-12-03 11:25 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2008-12-03 11:24 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2008-12-03 11:25 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2008-12-03 11:24 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2008-12-03 11:35 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2008-12-03 11:25 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-10 06:14 . 2008-12-03 11:25 132096 ----a-w- c:\windows\system32\wkssvc(2)(2).dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]
"PDVD8LanguageShortcut"="c:\programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avp"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-05-25 303376]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-05-16 16862720]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-17 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Nero BackItUp Scheduler 3"=2 (0x2)
"LightScribeService"=2 (0x2)
"NMIndexingService"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Trillian\\trillian.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15.12.2008 20:41 33808]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16.09.2008 13:03 169312]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.05.2009 17:46 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16.05.2009 20:59 19472]
S4 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [03.12.2008 13:25 77312]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2009-09-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-09-05 c:\windows\Tasks\User_Feed_Synchronization-{011E65EF-EEDD-45A8-9375-D587BC6F8FB6}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://domain.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7khhru3l.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.domain.de/|http://www.domain.de/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-09-06 14:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3820)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\rundll32.exe
c:\programme\Canon\IJPLM\ijplmsvc.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\wdfmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-06 14:30 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-06 12:30

Vor Suchlauf: 5 Verzeichnis(se), 144.335.937.536 Bytes frei
Nach Suchlauf: 5 Verzeichnis(se), 144.810.303.488 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

166 --- E O F --- 2009-08-26 22:42

Hallo und Herzlich Willkommen! :)

Allgemein ist so:
War das jetzt ein Fehlaram oder eine echte Trojanermeldung?:
Weil einige Dateien wurden als Malware eingestuft, bedeutet nicht gleich dass sie wirklich schädlich sind. Umgekehrt weil die Überprüfung einiger Arten schädlicher Dateien negative Ergebnisse gebracht haben, bedeutet nicht, dass sie so harmlos sind, wie (oft) dargestelltwird ;)
Was hat das damit zu tun bzw mit Geld? Einfach Windows CD einlegen formatieren + Windows neu zu installieren...

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

Hallo Coverflow,

erstmal ganz lieben Dank für die nette Begrüßung und daß Du Dich schon so schnell meinem Problem angenommen hast. Die Zusatzinfos werde ich auf jeden Fall schauen, daß ich sie Dir noch besorge. Ich wollte aber gerade das mit den geschützten Dateien machen, da hatte der PC mir eine Warnung gesagt, daß er eventuelll nicht mehr richtig funktionieren würde, wenn man das macht. Soll ich es trotzdem machen?

Ich würde außerdem gerne Combo-Fix wieder runterschmeißen, bevor andere Sachen runtergeladen werden. Wie macht man das? Reicht das dann über Systemsteuerung oder muß da noch mehr gelöscht werden? Oder kann ich ihn noch drauf lassen?

Deine Anweisungen werde ich am WE mal in Ruhe abarbeiten. Dazu brauche ich Zeit und Musse. Jetzt habe ich noch eine kleine Frage am Rande: Ist das normal, daß man als Gast die Beiträge von oben nach unten sieht und als eingeloggter User ist es genau umgekekhrt und das Neueste steht dann oben?

Ganz lieben Dank schonmal!

Michael

kannst Du machen, die sind Einstellungen damit wird nix gelöscht oder so. Am Ende wreden wir wieder rückgängig machen:)
CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren
ja...:)

Oki, dann werde ich das machen.

Du, ich habe jetzt versucht, den Combofix runterzuschmeißen, allerdings stand dann da: Kein Combofix vorhanden. Wie kann denn das sein? Obwohl ich ihn ja noch auf dem Desktop habe. Ich habe aber diese Quoobox gelöscht und den Papierkorb geleert. Troztdem ist Combofix noch da. Und kann es sein, daß er mir den ganzen Papierkorb beim Reinigungsvorgang gelöscht hat?

edit: AH jetzt hat es gekappt. Der Kaspersky hatte sich wieder gemeldet und dann wollte Combofix erst, daß man wieder alles deaktiviert. Ich hab auf zulassen geklickt und dann hat er es runtergeschmissen. Ok, müßte jetzt erledigt sein. Desktop-Symbol ist auch weg. Aber auf der Festplatte ist noch ein Ordner Combofix. Ist das richtig? Ich denke, er ist runter? Bin da etwas irritiert jetzt.

sollte weg sein...

Ja, ich habe den Ordner jetzt manuell noch gelöscht, jetzt ist er endgültig weg. Danke auf jeden Fall. Aber ist jetzt durch die Säuberung von Combo-Fix der Papierkorb komplett geleert worden? Ich habe doch ziemlich gestutzt, als er plötzlich leer war.

Und Deine Anweisungen werde ich am WE in Ruhe abarbeiten.

Im Prinzip hast Du ja recht, daß ein Virus einem Virenprogramm auch bekannt sein muß, ehe es ihn auch erkennen kann. Das ist klar, aber ich habe gesehen, daß dieser Virtumonde schon seit 2008 bekannt ist. Also wenn er Kaspersky DA immer noch nicht bekannt ist, dann weiß ich es auch nicht. Kann ja dann auch nicht so ein gutes Programm sein. Ich verlass mich jetzt daher mal nicht auf die Virenscanner, sondern laß lieber gleich von Euch die Logfiles auswerten. Da ist man dann auf der sicheren Seite. :daumenhoc

Welche Datei identifiziert spybot SD denn als "vundo"? -> bitte mit genauer Pfadangabe, Lade die Datei zur Prüfung bei virustotal.com zur Prüfung hoch und poste hier die Ergebnisse des scans.

2 Hinweise:
- Wenn du Kaspersky nutzt, ist Spybot S&D überflüssig. Ich vermute stark einen Fehlalarm. Bevor du Dateien löschst, die als infiziert oder Schädling von deinem Virenprogramm ausgegeben werden, mache eine Gegenprobe bei virustotal.com. Bestätigt sich die Infektion, lösche die Datei dennoch nicht, sondern verschiebe sie in die Quarantäne. Das hilft, einen Überblick über das Schadpotential zu gewinnen.

- combofix ist kein tool, dass man mal eben so auf sein System loslassen sollte. Das Ding geht recht invasiv zur Sache; deshalb wirst du hier auch bei den Anleitungen/faqs nichts dazu finden.

ja schon... "Trojan Vundo" ist schon längst bekannt als trojanisches Programm - genau gesagt "Adware", nur halt verwendet mehrere Dateien hintereinander und die Dateinamen ändern sich (Groß/Kleinschr) ständig
was ich gemeint habe, damit Du besser verstehen kannst Beispiel:

- Vundo erzeugt heute: ujmyoo.dll -> gleich aufnahme in der Datenbank -> morgen: geBqOFus.dll<- zwar die Struktur/Merkmale für Vundo typisch, aber die Datei "geBqOFus.dll" noch nicht bekannt. Wenn man Glück hat, der Virenscanner erkennt, wenn nicht dann...Pech gehabt.:zzwhip:

Erstmal wieder vielen lieben Dank für Eure Antworten. Muß ich mir morgen nochmal in Ruhe zu Gemüte führen. Allerdings kann ich den Spybot 6.1.2. nicht nochmal drüberlaufen lassen, weil ich im Moment ein großes Problem habe: Ich habe ja wegen dem Combofix den Spybot deinstallieren wollen über Systemsteuerung. Allerdings waren da dann wohl noch Reste von übrig. Heute wollte ich ihn wieder draufmachen und bekam folgende Meldung:

Fehler: SDHelper.dll

Die vorhandene Datei ist schreibgeschützt. Klicken Sie auf Wiederholen, Ignorieren oder Abbrechen.

Was soll ich da klicken? Und woran kann das liegen? Daß schon ein Ordner vorhanden ist?

Und wo kann ich denn dann die genaue Pfadangabe sehen? Bisher sah ich da immer nur die Namen der Funde. Aber ohne genauere Angaben.

@Ordell: Es wäre wirklich super, wenn das nur ein Fehlalarm von Spybot wäre. Aber das will ich ja hier lieber mal von Euch abklären lassen.

Die logs von spybot liegen unter Durchforste die logs nach dem Fund poste das Ergebnis.

Die sdhelper.dll liegt im Programmverzeichnis von Spybot SD c:\programme\spybot... versuche mal das Verzeichnis zu löschen. Funktioniert das nicht, führe zunächst die Schritte von Coverflow aus, das Problem beheben wir später.

So, Schritte 1 und 2 schonmal ordnungsgemäß ausgeführt. Bitte schaut, ob ich alles Persönliche weg habe und löscht es notfalls. Ich weiß doch absolut nicht, was als persönlich gilt und was nicht. Serien-Nummer und Benutzername sind raus. Aber wenn doch noch eine persönliche Zahl sein sollte, dann bitte löscht sie!

SO, anbei erstmal die Logfiles von filebat:

noch bitte Punkt 3.:-> http://www.trojaner-board.de/77214-virtumonde-dll-endgueltig-weg-nach-combo-fix-2.html#post463799

Ja mach ich auf jeden Fall noch. Sag mal, muß ich dazu die Virenscanner auch ausmachen vorher? Also bevor ich den CCleaner starte?

nein..wenn das nötig wird, werd ich dich darauf extra hinweisen:)