Hallo zusammen,
erstmal ein grosses Lob an die Entwickler von Spybot.Tolles Programm und dazu noch umsonst!
Hier nun mein Problem: kürzlich wurde mein PC mit dem Virtumonde Trojaner infiziert und diesen werde ich nun nicht los. Spybot findet jedesmal wieder zwei Virtumonde-Einträge in der Registry. Sie wird von Antivir als Trojaner identifiziert, von Spybot jedoch nicht. Es ist unmöglich die Datei zu löschen, da sie anscheinend immer verwendet wird, sowohl im normalen als auch im abgesicherten Modus. Sie trägt sich in der Registry unter "Winlogon" ein. Dort kann man sie zwar löschen, jedoch hilft das auch nichts, nach dem nächsten Systemstart ist sie wieder da. Sie hat schon zahlreiche "Ableger" in der Registry und in system32 produziert, die ich aber immer wieder löschen konnte.
Ich habe schon gesehen dass es noch andere Threads zu Virtumonde gibt. Habe deshalb schon mal das combo-fix drüber laufen lassen. Im Anhang habe ich das log mal angehängt (hoffe das war nicht falsch).
Ich wäre sehr dankbar für eine Anleitung, wie ich Virtumonde bzw. diese .dll endgültig loswerden könnte.
Hier das log:
ComboFix 08-10-24.02 - Otty 2008-10-25 16:34:33.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.295 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Otty\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Otty\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BMc35a6b1b.txt
C:\WINDOWS\BMc35a6b1b.xml
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\system32\binrkgpd.dll
C:\WINDOWS\system32\dacbjddu.dll
C:\WINDOWS\system32\dfynpebx.ini
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\dyxxuriu.ini
C:\WINDOWS\system32\fwwuwxft.exe
C:\WINDOWS\system32\gEWNeEVm.dll
C:\WINDOWS\system32\gwimhp.dll
C:\WINDOWS\system32\hycpgtbr.dll
C:\WINDOWS\system32\ibshwoph.exe
C:\WINDOWS\system32\iqbhrb.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mmismecr.dll
C:\WINDOWS\system32\mVEeNWEg.ini
C:\WINDOWS\system32\mVEeNWEg.ini2
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oUBJPXyb.ini
C:\WINDOWS\system32\oUBJPXyb.ini2
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\polynet.dll
C:\WINDOWS\system32\qatypsbh.exe
C:\WINDOWS\system32\rbtgpcyh.ini
C:\WINDOWS\system32\uddjbcad.ini
C:\WINDOWS\system32\uiruxxyd.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xbepnyfd.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
-------\Service_NPF
((((((((((((((((((((((( Dateien erstellt von 2008-09-25 bis 2008-10-25 ))))))))))))))))))))))))))))))
.
2008-10-16 21:30 . 2008-10-16 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\Otty\Anwendungsdaten\CyberLink
2008-10-16 21:29 . 2003-04-23 18:29 221,215 --------- C:\WINDOWS\system32\Divxdec.ax
2008-10-16 21:28 . 2008-10-16 21:28 <DIR> d-------- C:\Programme\CyberLink
2008-10-16 21:09 . 2008-10-16 21:09 0 --a------ C:\WINDOWS\iPlayer.INI
2008-10-16 21:06 . 2008-10-16 21:06 <DIR> d-------- C:\Program Files
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-25 13:56 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-16 19:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-21 13:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-21 10:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-20 19:03 --------- d-----w C:\Programme\WLAN Monitor
2008-09-14 17:20 --------- d-----w C:\Programme\XP-Clean Express
2008-09-14 15:57 115,200 ----a-w C:\WINDOWS\system32\gnitsa.dll
2008-09-14 15:57 115,200 ----a-w C:\WINDOWS\system32\efpvuqae.dll
2008-09-08 20:25 115,200 ----a-w C:\WINDOWS\system32\uiyupq.dll
2008-09-08 20:25 115,200 ----a-w C:\WINDOWS\system32\eqroexsf.dll
2008-09-07 13:14 --------- d-----w C:\Programme\Java
2008-08-29 21:22 104,960 ----a-w C:\WINDOWS\system32\uiafgq.dll
2008-08-29 21:22 104,960 ----a-w C:\WINDOWS\system32\qmlbgdgq.dll
2008-08-12 20:40 48,640 ------w C:\WINDOWS\system32\cbXRkJaY.dll
2007-08-24 12:33 73,880 ----a-w C:\Dokumente und Einstellungen\Otty\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{57DF73C0-833C-48B7-9146-1E18930D57FF}]
2008-08-12 22:40 48640 --------- C:\WINDOWS\system32\cbXRkJaY.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 1211176]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
C:\Dokumente und Einstellungen\Otty\Startmen\Programme\Autostart\
Cyber-shot Viewer-Medien-Prfung.lnk.disabled [2007-01-03 1916]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk.disabled [2008-09-20 2319]
Adobe Gamma.lnk.disabled [2007-12-22 1011]
AutoCAD-Startbeschleuniger.lnk.disabled [2007-02-03 2006]
Microsoft Office.lnk.disabled [2007-06-03 1723]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{57DF73C0-833C-48B7-9146-1E18930D57FF}"= "C:\WINDOWS\system32\cbXRkJaY.dll" [2008-08-12 48640]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXRkJaY]
2008-08-12 22:40 48640 C:\WINDOWS\system32\cbXRkJaY.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=gnitsa.dll iqbhrb.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll
"VIDC.JPEG"= jpegCode.dll
"VIDC.MJPG"= jpegCode.dll
"VIDC.IV41"= ir41_32.dll
"MSACM.CEGSM"= mobilev.acm
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="C:\PROGRA~1\MICROS~3\wcescomm.exe"
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"c0695887"=rundll32.exe "C:\WINDOWS\system32\dacbjddu.dll",b
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"Logitech Utility"=Logi_MwX.Exe
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
Inhalt des "geplante Tasks" Ordners
2008-10-17 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-17 22:50]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
BHO-{3EA01A6A-95D0-4F06-BF60-16B3CC6917E8} - C:\WINDOWS\system32\gEWNeEVm.dll
BHO-{65d07ec2-e370-41a6-a558-7addeb616524} - C:\WINDOWS\system32\iqbhrb.dll
BHO-{C0FE8729-EF67-42DC-B9FE-3204C28D8AF4} - (no file)
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Otty\Anwendungsdaten\Mozilla\Firefox\Profiles\ab1yf2mn.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.spiegel.de
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-25 16:44:03
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\cbXRkJaY.dll
Prozess: C:\WINDOWS\Explorer.EXE
-> C:\WINDOWS\system32\cbXRkJaY.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Microsoft ActiveSync\rapimgr.exe
C:\Programme\AntiVir PersonalEdition Classic\guardgui.exe
C:\Programme\AntiVir PersonalEdition Classic\guardgui.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-25 17:01:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-25 15:01:08
Vor Suchlauf: 13 Verzeichnis(se), 30.477.627.392 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 30,449,938,432 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /TUTag=RSXKEY /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition (TuneUp Backup)" /fastdetect /NoExecute=OptIn /TUTag=RSXKEY-BAK
187 --- E O F --- 2007-08-31 21:13:22