Virtumonde Falschmeldung?

O

OliverH

New member
Hallo,

Ich habe gerade schon einen thread, der diese Sache betrifft, in dem Forum "Removal Malware" gepostet, bevor ich gesehen habe, daß es hier auch ein Forum auf Deutsch gibt. Es soll jetzt nicht der Eindruck entstehen, daß ich jetzt alle Foren zumülle, aber eine Antwort auf Deutsch ist mir dann doch lieber...(ich weiß leider auch nicht, ob oder wie man einen thread wieder löschen kann).
So, nun aber zu meinem Problem. Es scheint so, als ob es zumindest ansatzweise ähnlich auch bei anderen schon aufgetreten ist. Es handelt sich um eine Meldung von Spybot, er hätte Virtumonde auf meinem Rechner gefunden und zwar in der Datei NWIPXSPX.DLL. Ein Fixen des Problems ist nicht möglich, sondern die Meldung kommt bei jeder erneuten Systemüberprüfung wieder (auch nach Neustark, im abgesicherten Modus etc.). Auswirkungen habe ich nicht festgestellt, also keine Popups o.ä. Auch Antivir hat nicht angeschlagen. Ich habe mich nun schon durch einige Foren gelesen und auch diverse Sachen ausprobiert. So habe ich die Treiberdatei einzeln prüfen lassen (Virustotal, jotti) ...jeweils ohne Fund. Auch die diversen Reports (HijackThis, Kapersky, F-Secure) sehen (zumindest für mich) alle normal aus, bzw. es wurde nichts gefunden. Einzige Auswirkung ist, daß Spybot beim Hochfahren wegen der Genehmigung zur Änderung von drei Registereinträgen nachfragt. Die kann ich leider wegen der Bildschirmdarstelllung nicht lesen, in einer taucht aber die besagte Treiberdatei auf und dahinter der Eintrag _tobedeleted. Ich kann mir auf all das keinen Reim machen, aber ihr vielleicht? Schon mal vielen Dank für die Mühe

Oliver
 
Der Dateiname ist untypisch fuer einen Vundo. Koenntest du den Spybotbericht hier posten, wo diese Meldung auftaucht?
 
Log Datei

Hallo Ralf,

Vielen Dank für die schnelle Antwort!

Die Meldung nach Ablauf von Spybot lautet:
Virtumonde (in rot)
Bibliothek c:\windows\system\NWIPXSPX.DLL

Ich habe dann versucht, diesen Eintrag zu löschen, was nur teilweise ging, worauf die Empfehlung kam, es beim Hochfahren zu versuchen, was aber auch nichts gebracht hat.

MfG Oliver

Jetzt die log-Datei von Spybot, wobei ich nur die Einträge ab dem 21.08. schicke, an dem das Problem offenbar erstmals aufgetreten ist (Teil 1 hier und Teil 2 folgt).

21.08.2007 09:06:21 Erlaubt value "SpybotDeletingB7477" (new data: "command /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"") hinzugefügt in System Startup user entry!
21.08.2007 09:06:22 Erlaubt value "SpybotDeletingD249" (new data: "cmd /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"") hinzugefügt in System Startup user entry!
21.08.2007 09:06:26 Erlaubt value "SpybotDeletingA6103" (new data: "command /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"") hinzugefügt in System Startup global entry!
21.08.2007 09:06:27 Erlaubt value "SpybotDeletingC7449" (new data: "cmd /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"") hinzugefügt in System Startup global entry!
21.08.2007 09:29:02 Erlaubt value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
21.08.2007 09:29:03 Erlaubt value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
21.08.2007 09:29:04 Erlaubt value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
21.08.2007 09:29:05 Erlaubt value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
21.08.2007 09:36:56 Verweigert value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
21.08.2007 09:36:59 Verweigert value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
21.08.2007 09:37:02 Verweigert value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
21.08.2007 09:37:04 Verweigert value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
21.08.2007 09:38:39 Verweigert value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
21.08.2007 09:38:39 Verweigert value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
21.08.2007 09:38:39 Verweigert value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
21.08.2007 09:38:39 Verweigert value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
22.08.2007 08:18:33 Verweigert value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
22.08.2007 08:18:33 Verweigert value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
22.08.2007 08:18:33 Verweigert value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
22.08.2007 08:18:33 Verweigert value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
22.08.2007 09:45:41 Verweigert value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
22.08.2007 09:45:41 Verweigert value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
22.08.2007 09:45:41 Verweigert value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
22.08.2007 09:45:41 Verweigert value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
22.08.2007 09:47:13 Erlaubt value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") gelöscht in Browser Helper Object!
22.08.2007 09:47:23 Erlaubt value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") hinzugefügt in Browser Helper Object!
22.08.2007 19:41:16 Verweigert value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
22.08.2007 19:41:16 Verweigert value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
22.08.2007 19:41:16 Verweigert value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
22.08.2007 19:41:16 Verweigert value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
22.08.2007 20:28:36 Verweigert value "Spybot - Search & Destroy" (new data: ""C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck") hinzugefügt in System Startup global entry!
22.08.2007 20:38:58 Erlaubt value "SpybotDeletingB1239" (new data: "command /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup user entry!
22.08.2007 20:39:01 Erlaubt value "SpybotDeletingD8207" (new data: "cmd /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup user entry!
22.08.2007 20:39:03 Erlaubt value "SpybotDeletingA8888" (new data: "command /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup global entry!
22.08.2007 20:39:05 Erlaubt value "SpybotDeletingC1247" (new data: "cmd /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup global entry!
22.08.2007 20:39:13 Erlaubt value "SpybotSnD" (new data: ""C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck") hinzugefügt in System Startup global entry!
22.08.2007 20:39:28 Erlaubt value "SpybotDeletingB8441" (new data: "command /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup user entry!
22.08.2007 20:39:29 Erlaubt value "SpybotDeletingD908" (new data: "cmd /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup user entry!
22.08.2007 20:39:33 Erlaubt value "SpybotDeletingA1241" (new data: "command /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup global entry!
22.08.2007 20:39:34 Erlaubt value "SpybotDeletingC4661" (new data: "cmd /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup global entry!
22.08.2007 21:06:27 Verweigert value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
22.08.2007 21:06:27 Verweigert value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
22.08.2007 21:06:27 Verweigert value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
22.08.2007 21:06:27 Verweigert value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
22.08.2007 23:12:28 Erlaubt value "SpybotDeletingC2558" (new data: "") gelöscht in System Startup global entry!
22.08.2007 23:12:29 Verweigert value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
22.08.2007 23:12:30 Verweigert value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
22.08.2007 23:12:33 Erlaubt value "SpybotDeletingC2730" (new data: "") gelöscht in System Startup global entry!
22.08.2007 23:12:36 Erlaubt value "SpybotDeletingA9482" (new data: "") gelöscht in System Startup global entry!
22.08.2007 23:12:38 Verweigert value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
22.08.2007 23:12:40 Verweigert value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
22.08.2007 23:12:43 Erlaubt value "SpybotDeletingA9915" (new data: "") gelöscht in System Startup global entry!
22.08.2007 23:12:52 Verweigert value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
22.08.2007 23:12:53 Verweigert value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
22.08.2007 23:12:53 Verweigert value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
22.08.2007 23:12:54 Verweigert value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
22.08.2007 23:13:29 Verweigert value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
22.08.2007 23:13:30 Verweigert value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
22.08.2007 23:13:30 Verweigert value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
22.08.2007 23:13:31 Verweigert value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
22.08.2007 23:57:22 Verweigert value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
22.08.2007 23:57:22 Verweigert value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
22.08.2007 23:57:22 Verweigert value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
22.08.2007 23:57:22 Verweigert value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
22.08.2007 23:58:50 Verweigert value "SpybotDeletingA6103" (new data: "rem command /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"") geändert in System Startup global entry!
22.08.2007 23:59:56 Erlaubt value "SpybotDeletingA6103" (new data: "rem command /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"") geändert in System Startup global entry!
 
Log Datei Teil 2

23.08.2007 00:00:06 Erlaubt value "SpybotDeletingC7449" (new data: "rem cmd /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"") geändert in System Startup global entry!
23.08.2007 00:00:22 Verweigert value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
23.08.2007 00:00:23 Verweigert value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
23.08.2007 00:00:26 Erlaubt value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
23.08.2007 00:00:29 Erlaubt value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
23.08.2007 00:00:56 Verweigert value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
23.08.2007 00:00:59 Verweigert value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
23.08.2007 00:01:58 Erlaubt value "SpybotDeletingB7477" (new data: "rem command /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"") geändert in System Startup user entry!
23.08.2007 00:02:08 Erlaubt value "SpybotDeletingD249" (new data: "rem cmd /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"") geändert in System Startup user entry!
23.08.2007 00:02:21 Erlaubt value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
23.08.2007 00:02:24 Erlaubt value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
23.08.2007 00:02:57 Erlaubt value "SpybotDeletingB4240" (new data: "command /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"") hinzugefügt in System Startup user entry!
23.08.2007 00:02:58 Erlaubt value "SpybotDeletingD9069" (new data: "cmd /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"") hinzugefügt in System Startup user entry!
23.08.2007 00:02:59 Erlaubt value "SpybotDeletingA6230" (new data: "command /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"") hinzugefügt in System Startup global entry!
23.08.2007 00:03:00 Erlaubt value "SpybotDeletingC127" (new data: "cmd /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"") hinzugefügt in System Startup global entry!
23.08.2007 00:03:08 Erlaubt value "SpybotDeletingB9105" (new data: "command /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup user entry!
23.08.2007 00:03:09 Erlaubt value "SpybotDeletingD5630" (new data: "cmd /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup user entry!
23.08.2007 00:03:10 Erlaubt value "SpybotDeletingA7630" (new data: "command /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup global entry!
23.08.2007 00:03:10 Erlaubt value "SpybotDeletingC5892" (new data: "cmd /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup global entry!
23.08.2007 00:03:12 Erlaubt value "SpybotSnD" (new data: ""C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck") hinzugefügt in System Startup global entry!
23.08.2007 00:48:46 Verweigert value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
23.08.2007 00:48:46 Verweigert value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
23.08.2007 00:48:46 Verweigert value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
23.08.2007 00:48:46 Verweigert value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
23.08.2007 00:49:00 Erlaubt value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") gelöscht in Browser Helper Object!
23.08.2007 00:49:22 Erlaubt value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") hinzugefügt in Browser Helper Object!
23.08.2007 00:54:57 Erlaubt value "SpybotDeletingD249" (new data: "") gelöscht in System Startup user entry!
23.08.2007 00:54:58 Erlaubt value "SpybotDeletingB7477" (new data: "") gelöscht in System Startup user entry!
23.08.2007 00:54:59 Erlaubt value "Spybot - Search & Destroy" (new data: "") gelöscht in System Startup global entry!
23.08.2007 00:54:59 Erlaubt value "SpybotDeletingC7449" (new data: "") gelöscht in System Startup global entry!
23.08.2007 00:55:00 Erlaubt value "SpybotDeletingA6103" (new data: "") gelöscht in System Startup global entry!
23.08.2007 07:59:03 Erlaubt value "Spybot - Search & Destroy" (new data: ""C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck") hinzugefügt in System Startup global entry!
23.08.2007 08:10:29 Erlaubt value "SpybotDeletingB3644" (new data: "command /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup user entry!
23.08.2007 08:10:31 Erlaubt value "SpybotDeletingD2008" (new data: "cmd /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup user entry!
23.08.2007 08:10:32 Erlaubt value "SpybotDeletingA523" (new data: "command /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup global entry!
23.08.2007 08:10:34 Erlaubt value "SpybotDeletingC736" (new data: "cmd /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup global entry!
23.08.2007 08:10:50 Erlaubt value "SpybotSnD" (new data: ""C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck") hinzugefügt in System Startup global entry!
23.08.2007 08:12:06 Erlaubt value "SpybotDeletingC736" (new data: "") gelöscht in System Startup global entry!
23.08.2007 08:12:09 Erlaubt value "SpybotDeletingB3644" (new data: "") gelöscht in System Startup user entry!
23.08.2007 08:12:10 Erlaubt value "SpybotDeletingD2008" (new data: "") gelöscht in System Startup user entry!
23.08.2007 08:12:11 Erlaubt value "SpybotDeletingA523" (new data: "") gelöscht in System Startup global entry!
23.08.2007 09:41:22 Erlaubt value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") gelöscht in Browser Helper Object!
23.08.2007 09:42:41 Erlaubt value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") hinzugefügt in Browser Helper Object!
25.08.2007 15:27:45 Erlaubt value "{9F1C11AA-197B-4942-BA54-47A8489BB47F}" (new data: "") gelöscht in ActiveX Distribution Unit!
25.08.2007 15:39:50 Verweigert value "Spybot - Search & Destroy" (new data: ""C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck") hinzugefügt in System Startup global entry!
25.08.2007 16:13:10 Verweigert value "PCPitstop Registration Reminder" (new data: "C:\Programme\PCPitstop\Exterminate\Reminder.exe") hinzugefügt in System Startup global entry!
2007-08-25 16:31:50 Erlaubt value "load" (new data: "") gelöscht in NT startup!
2007-08-25 16:31:50 Erlaubt value "scrnsave.exe" (new data: "") gelöscht in Desktop settings!
2007-08-25 16:31:54 Erlaubt value "" (new data: "") hinzugefügt in System Startup global entry!
2007-08-25 16:31:56 Erlaubt value "combofix" (new data: "C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat") hinzugefügt in System Startup global entry!
2007-08-25 16:31:58 Erlaubt value "combofix" (new data: "C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat") hinzugefügt in System Startup global entry!
2007-08-25 16:34:45 Erlaubt value "load" (new data: "") gelöscht in NT startup!
2007-08-25 16:34:45 Erlaubt value "scrnsave.exe" (new data: "") gelöscht in Desktop settings!
27.08.2007 07:23:08 Erlaubt value "*Restore" (new data: "C:\WINDOWS\system32\restore\rstrui.exe -i") hinzugefügt in System Startup global entry!
27.08.2007 07:38:02 Verweigert value "Spybot - Search & Destroy" (new data: ""C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck") hinzugefügt in System Startup global entry!
27.08.2007 07:38:35 Verweigert value "SpybotDeletingB2722" (new data: "command /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup user entry!
27.08.2007 07:38:36 Verweigert value "SpybotDeletingD5497" (new data: "cmd /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup user entry!
27.08.2007 07:38:37 Verweigert value "SpybotDeletingA6908" (new data: "command /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup global entry!
27.08.2007 07:38:38 Verweigert value "SpybotDeletingC982" (new data: "cmd /c del "C:\WINDOWS\system32\NWIPXSPX.DLL_tobedeleted"") hinzugefügt in System Startup global entry!
27.08.2007 08:57:23 Verweigert value "First Home Page" (new data: "") gelöscht in Browser page!
27.08.2007 09:02:54 Erlaubt value "{0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75}" (new data: "") hinzugefügt in ActiveX Distribution Unit!
27.08.2007 11:24:05 Erlaubt value "SpybotDeletingA1728" (new data: "") gelöscht in System Startup global entry!
27.08.2007 11:24:06 Erlaubt value "SpybotDeletingC5270" (new data: "") gelöscht in System Startup global entry!
27.08.2007 11:36:02 Erlaubt value "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA}" (new data: "") gelöscht in ActiveX Distribution Unit!
27.08.2007 11:36:07 Erlaubt value "SunJavaUpdateSched" (new data: "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe") geändert in System Startup global entry!
27.08.2007 11:54:41 Erlaubt value "SunJavaUpdateSched" (new data: "") gelöscht in System Startup global entry!
27.08.2007 11:54:44 Erlaubt value "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" (new data: "") gelöscht in ActiveX Distribution Unit!
27.08.2007 11:54:45 Erlaubt value "SunJavaUpdateSched" (new data: "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe") hinzugefügt in System Startup global entry!
27.08.2007 11:55:30 Erlaubt value "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}" (new data: "") gelöscht in ActiveX Distribution Unit!
27.08.2007 11:55:31 Erlaubt value "SunJavaUpdateSched" (new data: ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"") geändert in System Startup global entry!
27.08.2007 11:55:58 Erlaubt value "SunJavaUpdateSched" (new data: "") gelöscht in System Startup global entry!
27.08.2007 11:56:14 Erlaubt value "SunJavaUpdateSched" (new data: ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"") hinzugefügt in System Startup global entry!
27.08.2007 11:56:16 Erlaubt value "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}" (new data: "") gelöscht in ActiveX Distribution Unit!
27.08.2007 12:05:38 Erlaubt value "SunJavaUpdateSched" (new data: "") gelöscht in System Startup global entry!
27.08.2007 12:06:12 Erlaubt value "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}" (new data: "") gelöscht in ActiveX Distribution Unit!
27.08.2007 12:06:13 Erlaubt value "SunJavaUpdateSched" (new data: ""C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"") hinzugefügt in System Startup global entry!
27.08.2007 12:06:52 Erlaubt value "SunJavaUpdateSched" (new data: "") gelöscht in System Startup global entry!
27.08.2007 12:07:17 Erlaubt value "{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}" (new data: "") gelöscht in Browser Helper Object!
27.08.2007 12:07:18 Erlaubt value "{8AD9C840-044E-11D1-B3E9-00805F499D93}" (new data: "") gelöscht in ActiveX Distribution Unit!
27.08.2007 12:07:19 Erlaubt value "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}" (new data: "") gelöscht in ActiveX Distribution Unit!
27.08.2007 12:07:20 Erlaubt value "{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}" (new data: "") gelöscht in ActiveX Distribution Unit!
27.08.2007 12:11:31 Erlaubt value "SunJavaUpdateSched" (new data: "") gelöscht in System Startup global entry!
27.08.2007 12:11:35 Erlaubt value "Spybot - Search & Destroy" (new data: "") gelöscht in System Startup global entry!
27.08.2007 12:11:37 Erlaubt value "SpybotDeletingA1728" (new data: "") gelöscht in System Startup global entry!
27.08.2007 12:11:38 Erlaubt value "SpybotDeletingC5270" (new data: "") gelöscht in System Startup global entry!
27.08.2007 12:19:09 Erlaubt value "SunJavaUpdateSched" (new data: ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"") hinzugefügt in System Startup global entry!
27.08.2007 12:41:02 Erlaubt value "Spybot - Search & Destroy" (new data: "") gelöscht in System Startup global entry!
27.08.2007 12:41:03 Erlaubt value "SpybotDeletingA1728" (new data: "") gelöscht in System Startup global entry!
27.08.2007 12:41:03 Erlaubt value "SpybotDeletingC5270" (new data: "") gelöscht in System Startup global entry!
27.08.2007 12:50:55 Erlaubt value "Spybot - Search & Destroy" (new data: "") gelöscht in System Startup global entry!
27.08.2007 12:50:55 Erlaubt value "SpybotDeletingA1728" (new data: "") gelöscht in System Startup global entry!
27.08.2007 12:50:55 Erlaubt value "SpybotDeletingC5270" (new data: "") gelöscht in System Startup global entry!
27.08.2007 13:00:03 Erlaubt value "Spybot - Search & Destroy" (new data: "") gelöscht in System Startup global entry!
27.08.2007 13:00:04 Erlaubt value "SpybotDeletingA1728" (new data: "") gelöscht in System Startup global entry!
27.08.2007 13:00:39 Erlaubt value "SpybotDeletingC5270" (new data: "") gelöscht in System Startup global entry!
 
Teste bitte C:\WINDOWS\system32\NWIPXSPX.DLL bei Virustotal und scheu, wer was meldet:
http://www.virustotal.com/

Obwohl ich von einem Fehlalarm ausgehe, waere ein Hijackthis Report auch nicht schlecht:
Downloade Hijackthis von: http://www.trendsecure.com/portal/en...HiJackThis.zip

Lade/entpacke HijackThis in einen extra Ordner, Benenne Hijackthis in HJT um, starte es und waehle
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"


Schicke die Datei bitte auch an: detections @ spybot .info mit einem Link zu diesem Thema.
 
HJT Log

Ich habe gerade nochmals eine Überprüfung mit Spybot durchlaufen lassen und interesssanterweise geht jetzt just in dem Moment, wenn Virtumonde gefungen wird ein Fenster mit der Bitte um Erlaubnis für eine Änderung der Registrierungsdatenbank auf.
Eintrag Sybot Search_Destroy
neue Datei: c:\Programme\Spybot_Search_Destroy\SpybotSD.exe\autocheck

Das aber nur am Rande. Die Überprüfung der Treiberdatei blieb ergebnislos, also kein Fund.

Jetzt die Log-Datei von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:35:23, on 27.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Phoenix Technologies\cME\Guard\Guard.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RMClient\PMCTray.exe
C:\WINDOWS\system32\PhnxCDSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\Scanner.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Oliver Hülden\Eigene Dateien\Kaspersky Report\HJTS\Neuer Ordner\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.averatec.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.averatec.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Guard] "C:\Programme\Phoenix Technologies\cME\Guard\Guard.exe" /background
O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: SmartNetMonitor for Client.lnk = C:\Programme\RMClient\PMClient.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.averatec.com/
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1093867755430
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} -
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Phoenix VCD Service (PhnxVCDService) - Phoenix Technologies Ltd. - C:\WINDOWS\system32\PhnxCDSvr.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 7220 bytes
 
Das sieht stark nach Fehlalarm aus. Schicke die Datei trotzdem bitte an die spybot.info Adresse.

Dieses

Eintrag Sybot Search_Destroy
neue Datei: c:\Programme\Spybot_Search_Destroy\SpybotSD.exe\autocheck

ertzeugt der Teatimer, da Spybot selber sich in die Registrierung eintraegt um beim Neustart den Rechner pruefen zu koennen.

Du solltest deinen Rechner noch via www.windowsupdate.com aktualisieren...
 
Hallo Ralf,

Die Datei habe ich an die Mailadresse geschickt.
Dann noch ein Zusatzinfo. Nach der erneuten Überprüfung habe ich mal wieder versucht. das Virtumonde-Problem zu lösen. Es kommen dann vier Fenster wegen Registrierungsdatenbankänderungen:

1: SpyBotDeleting B 3081
Datei: command\c del "C:\Windows\System32\NWIPXSPX.DLL_tobedeletd

2: SpyBotDeleting D 4797
Datei: cmd\c del "C:\Windows\System32\NWIPXSPX.DLL_tobedeletd

3: SpyBotDeleting A 9763
Datei: command\c del "C:\Windows\System32\NWIPXSPX.DLL_tobedeletd

4: SpyBotDeleting C 4606
Datei: cmd\c del "C:\Windows\System32\NWIPXSPX.DLL_tobedeletd

Ist ja zumindest beruhigend, daß es wohl ein Fehlalarm ist. Ich wüßte natürlich trotzdem gerne, wie ich diese Meldung wieder los bekomme....
Vielen Dank aber nochmals für die Hilfe!!!!!

Oliver
 
Wenn du nicht versuchst, das Problem zu beheben, sollten die Meldungen eigentlich nicht auftauchen....
 
Dann beende bitte den Teatimer in der Taskleiste(mit rechter maustaste auf das Teatimersymbol, dort solltest du einen Eintrag zum Beenden finden) Dann oeffne Hijackthis, hake diesen Eintrag an und druecke fix checked.

O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

Nach einem neustart sollten diese Meldungen nicht mehr auftauchen. Falls doch, melde dich bitte nocheinmal...
 
So, die Fenster scheinen jetzt nicht mehr zu kommen...
Vielen Dank nochmals für die Hilfe!
Wenn du/ihr rausbekommt,woran das liegt, bekomme ich doch nochmals bescheid, oder?

Viele Grüße
Oliver
 
Das liegt nicht mehr in meinen Haenden, aber ich hoffe du bekommst wenigstens per Email eine Antwort...
 
You must log in or register to reply here.
Back
Top