Virtumonde auf ein neues!

[desabo]

Hallo Leute,
ich hab mir mal wieder was eingefangen. Beim bereinigen vom SB stürzt er ab.
Er kann irgendeine DelZip179 nicht finden.
Virtumonde ist am Start. Combofix log hab ich schon mal anbei. Bitte helft mir ich kann meinen Rechner nicht schon wieder platt machen.
SB SD 1.52.
Win home Sp2
ComboFix 08-05-27.4 - Alexander 2008-05-28 20:16:10.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.151 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Alexander\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\winvi
C:\Programme\winvi\dsktp\AC_RunActiveContent.js
C:\Programme\winvi\dsktp\desktop.html
C:\Programme\winvi\dsktp\internetDetection.swf
C:\Programme\winvi\dsktp\settings.sol
C:\Programme\winvi\version.ini
C:\Programme\winvi\wupda.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\BM2316d182.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\ararwkws.ini
C:\WINDOWS\system32\bxsqudsq.ini
C:\WINDOWS\system32\ciflqkwl.dll
C:\WINDOWS\system32\cnwxqwgx.ini
C:\WINDOWS\system32\cvoamtlf.ini
C:\WINDOWS\system32\dlvlhhwf.ini
C:\WINDOWS\system32\hgjvklll.ini
C:\WINDOWS\system32\IhiOYJjl.ini
C:\WINDOWS\system32\IhiOYJjl.ini2
C:\WINDOWS\system32\khfCsttR.dll
C:\WINDOWS\system32\kjTBbccf.ini
C:\WINDOWS\system32\kjTBbccf.ini2
C:\WINDOWS\system32\kohosdig.ini
C:\WINDOWS\system32\lahrldsd.ini
C:\WINDOWS\system32\LlRYyyxx.ini
C:\WINDOWS\system32\LlRYyyxx.ini2
C:\WINDOWS\system32\lmWHkUvw.ini
C:\WINDOWS\system32\lmWHkUvw.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\njdwqgxl.dll
C:\WINDOWS\system32\oaqqnwia.ini
C:\WINDOWS\system32\oivplfuy.ini
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\PoVGNqss.ini
C:\WINDOWS\system32\PoVGNqss.ini2
C:\WINDOWS\system32\pqckkmvv.dll
C:\WINDOWS\system32\rouqfxsc.dll
C:\WINDOWS\system32\RttsCfhk.ini
C:\WINDOWS\system32\RttsCfhk.ini2
C:\WINDOWS\system32\TEgjQXbc.ini
C:\WINDOWS\system32\TEgjQXbc.ini2
C:\WINDOWS\system32\tmvgahdp.ini
C:\WINDOWS\system32\uqpytgfm.ini
C:\WINDOWS\system32\urqRkIXr.dll
C:\WINDOWS\system32\vlgopexe.dll
C:\WINDOWS\system32\xgwqxwnc.dll
C:\WINDOWS\system32\xkgphaba.dll
C:\WINDOWS\system32\xmhefong.dll
C:\WINDOWS\system32\yhciulxg.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-28 ))))))))))))))))))))))))))))))
.

2008-05-28 20:21 . 2008-05-28 20:21 37,376 --a------ C:\WINDOWS\17PHolmes1001186.exe
2008-05-28 13:17 . 2008-05-28 13:17 96,320 --------- C:\WINDOWS\system32\gidsohok.dll_old
2008-05-28 13:11 . 2008-05-28 13:11 9,792 --a------ C:\WINDOWS\system32\fqdodyny.exe
2008-05-28 13:08 . 2008-05-28 13:08 105,024 --------- C:\WINDOWS\system32\eqgilbph.dll_old
2008-05-27 13:14 . 2008-05-27 13:14 9,792 --a------ C:\WINDOWS\system32\bvtimbbo.exe
2008-05-27 13:11 . 2008-05-27 13:11 95,808 --------- C:\WINDOWS\system32\mfgtypqu.dll_old
2008-05-26 13:14 . 2008-05-26 13:14 94,272 --------- C:\WINDOWS\system32\fltmaovc.dll_old
2008-05-26 13:11 . 2008-05-26 13:11 9,792 --a------ C:\WINDOWS\system32\sxjcrhvu.exe
2008-05-25 13:11 . 2008-05-25 13:11 105,024 --------- C:\WINDOWS\system32\gdcrdtxx.dll_old
2008-05-25 13:08 . 2008-05-25 13:08 9,792 --a------ C:\WINDOWS\system32\whwbstfi.exe
2008-05-25 03:01 . 140 C:\WINDOWS\system32\spupdsvc.inf
2008-05-24 13:07 . 2008-05-24 13:07 94,784 --------- C:\WINDOWS\system32\pdhagvmt.dll_old
2008-05-24 13:07 . 2008-05-24 13:07 9,792 --a------ C:\WINDOWS\system32\miegqdwd.exe
2008-05-24 13:05 . 2008-05-24 13:05 102,464 --------- C:\WINDOWS\system32\haspgbgj.dll_old
2008-05-24 12:56 . 2008-05-24 12:56 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-05-24 12:53 . 2008-05-24 12:53 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-05-24 12:53 . 2008-05-24 12:54 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-05-15 18:09 . 2006-09-25 17:58 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-15 18:09 . 2008-05-25 03:01 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-05-15 09:50 . 2008-05-15 09:50 9,280 --a------ C:\WINDOWS\system32\sxuchevs.exe
2008-05-14 09:49 . 2008-05-14 09:49 9,280 --a------ C:\WINDOWS\system32\ybxpcada.exe
2008-05-13 09:46 . 2008-05-13 09:46 9,280 --a------ C:\WINDOWS\system32\alghbeal.exe
2008-05-12 09:49 . 2008-05-12 09:49 9,280 --a------ C:\WINDOWS\system32\ayaesncf.exe
2008-05-11 09:44 . 2008-05-11 09:44 9,280 --a------ C:\WINDOWS\system32\noqbjomc.exe
2008-05-10 12:31 . 2008-05-10 16:55 354 ---hs---- C:\WINDOWS\system32\acwaraye.ini
2008-05-10 09:34 . 2008-05-28 20:10 2,004 --a------ C:\WINDOWS\wininit.ini
2008-05-10 00:49 . 2008-05-10 00:49 9,216 --a------ C:\WINDOWS\system32\dwabnbqr.exe
2008-05-09 21:35 . 2008-05-24 13:00 47,104 --a------ C:\WINDOWS\mrofinu1001186.exe.tmp
2008-05-09 21:35 . 2008-05-28 20:21 47,104 --a------ C:\WINDOWS\mrofinu1001186.exe
2008-05-09 00:42 . 2008-05-09 00:42 9,216 --a------ C:\WINDOWS\system32\xtjdwabd.exe
2008-05-08 12:32 . 2008-05-08 12:32 47,104 --a------ C:\WINDOWS\mrofinu1000106.exe
2008-05-08 12:31 . 2008-05-08 12:31 <DIR> d-------- C:\WINDOWS\system32\sX1
2008-05-08 12:31 . 2008-05-08 12:31 <DIR> d-------- C:\WINDOWS\system32\mBL
2008-05-08 12:31 . 2008-05-08 12:31 <DIR> d-------- C:\WINDOWS\system32\bkEur18
2008-05-08 12:31 . 2008-05-08 12:31 <DIR> d-------- C:\WINDOWS\system32\20467
2008-05-08 12:31 . 2008-05-08 12:31 <DIR> d-------- C:\Temp\maxsv15
2008-05-08 12:31 . 2008-05-28 20:16 <DIR> d-------- C:\Temp
2008-05-08 12:31 . 2008-05-08 12:31 35,328 --a------ C:\Dokumente und Einstellungen\Alexander\services.exe
2008-05-08 12:30 . 2008-03-27 15:14 40,448 ---hs---- C:\Dokumente und Einstellungen\Alexander\lsass.exe
2008-05-06 21:52 . 2008-05-06 21:52 <DIR> d-------- C:\Dokumente und Einstellungen\Alexander\Saved Games
2008-05-06 21:46 . 2008-05-06 21:46 <DIR> d-------- C:\Programme\Dream Day Honeymoon
2008-05-05 21:49 . 2008-05-05 21:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Astar Games
2008-05-05 21:47 . 2008-05-05 21:47 <DIR> d-------- C:\Programme\Ice Cream Mania
2008-05-05 21:41 . 2008-05-05 21:41 <DIR> d-------- C:\Programme\Farm Frenzy
2008-04-28 11:07 . 2008-04-28 11:07 <DIR> d-------- C:\Programme\Magic Seeds

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-28 18:19 --------- d-----w C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Skype
2008-05-28 14:02 --------- d-----w C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\skypePM
2008-05-24 11:11 --------- d-----w C:\Programme\Java
2008-05-24 11:03 --------- d-----w C:\Programme\Chocolatier Deluxe
2008-05-24 11:03 --------- d-----w C:\Programme\Chocolatier
2008-05-24 11:03 --------- d-----w C:\Programme\Bejeweled 2
2008-05-10 08:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GamesBar
2008-05-06 19:45 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-05 18:30 --------- d-----w C:\Programme\Magic Farm
2008-04-26 19:02 --------- d-----w C:\Programme\Zylom Games
2008-04-26 19:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\JollyBear
2008-04-26 19:02 --------- d-----w C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Zylom
2008-04-21 12:44 --------- d-----w C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Meridian93
2008-04-21 12:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Oberon Media
2008-04-21 12:08 --------- d-----w C:\Programme\Kabel eins Games
2008-04-08 11:17 --------- d-----w C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Magic Seeds
2008-03-29 09:24 --------- d-----w C:\Programme\IrfanView
2008-02-28 00:18 0 ----a-w C:\Programme\temp01
2008-01-19 18:39 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

------- Sigcheck -------

2007-06-13 15:21 1043456 ec1556faca52bce38e9d1b8d370b5310 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1043456 484117b2e90537dbabcc98026b3aee84 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2006-02-28 14:00 1042432 5776ff3257ea4b12002ef4b647786b1c C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21 1043456 ec1556faca52bce38e9d1b8d370b5310 C:\WINDOWS\system32\dllcache\explorer.exe

2006-02-28 14:00 22528 0afe2cbe029a7e27b6bd16375da3f038 C:\WINDOWS\system32\ctfmon.exe
2006-02-28 14:00 22528 c868eccd824ca5ca120013eb323a9cf5 C:\WINDOWS\system32\dllcache\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4994649c-4e3d-969b-6924-fbce3478e03b}]
2008-05-05 18:24 330752 --a------ C:\WINDOWS\system32\{ce088b45-d9b6-5099-8faf-f92ce84c20de}.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4F96CCB9-01EC-419E-AAEA-C2C913F2A236}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{64C3F39D-598D-4258-8D7B-E1B20279278D}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{75CEDAE8-AF64-469F-9938-E76F5911CA4C}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{95B38DE1-DA46-48F6-A2FF-125A9A0426D8}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A10B91CC-21A4-463E-ACDF-B522BE7ABAB9}]
C:\WINDOWS\system32\cbXQjgET.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DB557C23-2248-47D9-BF5E-B2D956ED153A}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DB9A3C90-9231-42C2-AE59-66E1A3A5B384}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 22528]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-01 18:22 21898024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSPower"="SiSPower.dll" [2007-01-23 13:34 53248 C:\WINDOWS\system32\SiSPower.dll]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 163840]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"{5E-E2-2B-B1-DW}"="C:\WINDOWS\system32\20467\bvre32.exe" [2008-02-14 16:42 57344]
"LSA Shellu"="C:\Dokumente und Einstellungen\Alexander\lsass.exe" [2008-03-27 15:14 40448]
"BM2316d182"="C:\WINDOWS\system32\rvyvkvmf.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 22528]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqRkIXr]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"BM2316d182"=Rundll32.exe "C:\WINDOWS\system32\wjkhbsja.dll",s

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2006-02-28 14:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{25c2c25c-ec32-11dc-b653-00115b772252}]
\Shell\Auto\command - P:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-05-23 16:00:36 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-28 20:20:39
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwOpenFile

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\17PHolmes1001186.exe 47104 bytes executable
C:\WINDOWS\system32\rwwnw64d.exe 57363 bytes executable
C:\WINDOWS\system32\msnav32.ax 147 bytes
C:\WINDOWS\system32\pcntpkdm.exe 200775 bytes executable
C:\WINDOWS\system32\winpfz33.sys 858 bytes
C:\WINDOWS\system32\zxdnt3d.cfg 21 bytes
C:\WINDOWS\system32\{ce088b45-d9b6-5099-8faf-f92ce84c20de}.dll 330752 bytes executable
C:\WINDOWS\system32\{ce088b45-d9b6-5099-8faf-f92ce84c20de}.dll-uninst.exe 63902 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 8

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\TEMP\DIL2.tmp
C:\WINDOWS\TEMP\DIL5.tmp
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\mrofinu1001186.exexe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\mrofinu1001186.exexe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rwwnw64d.exe
C:\WINDOWS\system32\pcntpkdm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-28 20:26:27 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-28 18:26:22

8 Verzeichnis(se), 64,901,165,056 Bytes frei
10 Verzeichnis(se), 64,788,480,000 Bytes frei

238 --- E O F --- 2008-05-25 01:02:16

 

[raman]

Boah, reinigen koennen wir gerne versuchen, aber das sieht bei dir extremst Uebel aus. Ich sehe auf die Schnelle auch kein Av Programm auf deinem Rechner!?
Leiste bitte etwas Vorarbeit und nutze Avira AntiVir Rescue System:
http://board.protecus.de/files/avira-bootcd-info/index_de.html
Lasse alle Funde umbenennen, starte neu und erstelle ein neuen Combofix Report.
Es waere hilfreich, wenn du vermeiden koenntest, mit dem infizierten Rechner ins Internet zu gehen. Mache die Downloads, falls moeglich von einem anderen Rechner aus.

 

[desabo]

Boah, reinigen koennen wir gerne versuchen, aber das sieht bei dir extremst Uebel aus. Ich sehe auf die Schnelle auch kein Av Programm auf deinem Rechner!?
Leiste bitte etwas Vorarbeit und nutze Avira AntiVir Rescue System:
http://board.protecus.de/files/avira-bootcd-info/index_de.html
Lasse alle Funde umbenennen, starte neu und erstelle ein neuen Combofix Report.
Es waere hilfreich, wenn du vermeiden koenntest, mit dem infizierten Rechner ins Internet zu gehen. Mache die Downloads, falls moeglich von einem anderen Rechner aus.

Also ist es mal wieder soweit:sad:Format c: ! Das geht warscheinlich schneller als mich da durchzuwühlen!?!?!?!?:red:
OK Leute trozdem Danke.

 

[raman]

Denke daran, das du vor dem ersten Onlinegang dir das SP3 fuer windows xp installierst! Also vor dem neu aufsetzen Organisieren! http://www.chip.de/downloads/Windows-XP-Service-Pack-3_29821545.html