Win32/adware.virtumonde - bigmaq Toolbar

**delboy2028** · #1 1. Mai 2008, 01:34

HVE thisvirus ich auf meinem Windows Vista-Rechner kann ich nicht git es los Ich habe versucht AdAware Ich habe versucht nod32 Ich habe versucht alles habe ich versucht die Datei manuell deleteing es einfach nicht funktioniert Ich bin verwirrt stecken whateva u wonna Anruf, wenn er den Lauschangriff Hölle von mir habe ich es auf MSN Messenger, wenn ich angemeldet jemand hat mich eine Offline-MSG mit einem Link habe ich nie auf den Link geklickt KNW besser als ich, aber es infizierten Vista irgendeiner Weise hier ist mein Hijack dieses Protokoll, ich habe sogar versucht, nod32 undll Programm, und dass nicht einmal die infizierten dll-Datei aus dem System i need help please lol

Logfile von Trend Micro HijackThis V2.0.2
Scan gespeichert um 13:17:21 am 30/04/2008
Plattform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot-Modus: Normal
Laufenden Prozesse:
C: \ Windows \ system32 \ taskeng.exe
C: \ Windows \ system32 \ Dwm.exe
C: \ Windows \ Explorer.EXE
C: \ Program Files \ Windows Defender \ MSASCui.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ MOM.exe
C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe
C: \ Program Files \ ESET \ ESET NOD32 Antivirus \ egui.exe
C: \ Program Files \ PowerISO \ PWRISOVM.EXE
C: \ Windows \ WindowsMobile \ wmdSync.exe
C: \ Windows \ System32 \ spool \ drivers \ w32x86 \ 3 \ E_FATIA IE.EXE
C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexStoreSvr.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ CCC.exe
C: \ Windows \ system32 \ rundll32.exe
C: \ Windows \ system32 \ rundll32.exe
C: \ Windows \ system32 \ searchfilterhost.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, SearchAssistant =
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch =
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar, LinksFolderName =
R3 - URLSearchHook: bigmaq Toolbar - (a1b2f3fa-dd1d-470b-a23e-a133b2f8ef60) - C: \ Program Files \ bigmaq \ tbbigm.dll
O1 - Hosts::: 1 localhost
O2 - BHO: (61072721-1971-3979-0594-bb6f4826e923) - (329e6284-f6bb-4950-9793-179112727016) - C: \ Windows \ system32 \ pxqtjlsa.dll
O2 - BHO: (no name) - (5B8307B3-B75E-4217-9B4A-A72CD3EFC1C2) - (no file)
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O2 - BHO: bigmaq Toolbar - (a1b2f3fa-dd1d-470b-a23e-a133b2f8ef60) - C: \ Program Files \ bigmaq \ tbbigm.dll
O2 - BHO: (no name) - (DE856D34-75E1-4F7F-A89C-A0FDA324F057) - C: \ Windows \ system32 \ mlJDvSKe.dll
O3 - Toolbar: bigmaq Toolbar - (a1b2f3fa-dd1d-470b-a23e-a133b2f8ef60) - C: \ Program Files \ bigmaq \ tbbigm.dll
O4 - HKLM \ .. \ Run: [Windows Defender]% ProgramFiles% \ Windows Defender \ MSASCui.exe-hide
O4 - HKLM \ .. \ Run: [StartCCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ CLIStart.exe"
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [egui] "C: \ Program Files \ ESET \ ESET NOD32 Antivirus \ egui.exe" / hide / waitservice
O4 - HKLM \ .. \ Run: [NBKeyScan] "C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBKeyScan.exe"
O4 - HKLM \ .. \ Run: [amd_dc_opt] C: \ Program Files \ AMD \ Dual-Core Optimizer \ amd_dc_opt.exe
O4 - HKLM \ .. \ Run: [MSServer] rundll32.exe C: \ Windows \ system32 \ urqRJApm.dll, # 1
O4 - HKLM \ .. \ Run: [PWRISOVM.EXE] C: \ Program Files \ PowerISO \ PWRISOVM.EXE
O4 - HKLM \ .. \ Run: [Windows Mobile-basierte Geräte-Management]% windir% \ WindowsMobile \ wmdSync.exe
O4 - HKLM \ .. \ Run: [BM11f62ce8] Rundll32.exe "C: \ Windows \ system32 \ uqdgqgex.dll", s
O4 - HKLM \ .. \ Run: [12c51f74] rundll32.exe "C: \ Windows \ system32 \ pgyfqdhl.dll", b
O4 - HKCU \ .. \ Run: [EPSON Stylus Photo R220 Series] C: \ Windows \ system32 \ spool \ drivers \ w32x86 \ 3 \ E_FATIA IE.EXE / FU "C: \ Windows \ Temp \ E_S39A5.tmp" / EF "HKCU"
O4 - HKCU \ .. \ Run: [IndxStoreSvr_ (79662E04-7C6C-4d9f-84C7-88D8A56B10AA)] "C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F -39A1E5104020
O4 - HKCU \ .. \ Run: [AlcoholAutomount] "C: \ Program Files \ Alcohol Soft \ Alcohol 120 \ axcmd.exe" / automount
O4 - HKCU \ .. \ Run: [mount.exe] C: \ Program Files \ GiPo @ Utilities \ FileUtilities.3 \ mount.exe / z
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll, ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'NETWORK SERVICE')
O8 - Extra Kontext Menüpunkt: E & Xport auf Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MICROS ~ 3 \ Office11 \ EXCEL.EXE/3000
O9 - Extra Knopf: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 3 \ Office11 \ REFIEBAR.DLL
O13 - Gopher Prefix:
O22 - SharedTaskScheduler: Windows DreamScene - (E31004D1-A431-41B8-826F-E902F9D95C81) - C: \ Windows \ System32 \ DreamScene.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C: \ Windows \ system32 \ Ati2evxx.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C: \ Program Files \ ESET \ ESET NOD32 Antivirus \ EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C: \ Program Files \ ESET \ ESET NOD32 Antivirus \ ekrn.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBService.exe
O23 - Service: NMIndexingService - Nero AG - C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C: \ Windows \ system32 \ IoctlSvc.exe
O23 - Service: SessionLauncher - Unbekannte Eigentümer - C: \ Users \ DANIEL ~ 1 \ AppData \ Local \ Temp \ DX9 \ SessionLa uncher.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C: \ Program Files \ Alcohol Soft \ Alcohol 120 \ StarWind \ StarWindServiceAE.exe
--
Ende der Datei - 6199 bytes

**evilfantasy** · #2 1. Mai 2008, 09:50

Ja, Sie haben einige nasties auf dem PC.

Bitte laden Sie sich von SUBs Combofix von einem der folgenden Links.
(Versuchen Sie, alle drei, wenn nötig)

Wichtig! Combofix.exe IST gespeichert werden, um und lief aus dem Desktop.

Schließen Sie alle geöffneten Web-Browser. (Firefox, Internet Explorer, etc.) vor Beginn der Combofix.
Wichtig! Vorübergehend deaktivieren dein Antivirus, Script Blocking und alle Anti-Spyware Echtzeit-Schutz vor Durchführung eines Scan.
- Klicken Sie auf diesen Link , um eine Liste der Programme, die Sicherheit sollten daher deaktiviert werden, und wie sie zu deaktivieren.
- Wenn Sie nicht aufgelistet ist und Sie nicht wissen, wie diese zu deaktivieren, wenden Sie sich bitte an.
Warnung: Combofix trennt Sie Ihren Computer aus dem Internet. Die Verbindung wird automatisch wiederhergestellt, bevor Combofix seinen Lauf.
Doppelklicken Sie auf combofix.exe und folgen Sie den Anweisungen.
- Wählen Sie Ja, um die Lizenzbestimmungen.[
Wenn Sie fertig sind, es wird ein Protokoll für Sie.
Post, dass sich in Ihrer nächsten Antwort.

Warnung: Nicht per Mausklick combofix-Fenster, während es in Betrieb ist. Das kann dazu führen, dass es zu Stall

Wenn Combofix läuft in Schwierigkeiten und vorzeitig beendet, wird die Verbindung manuell restauriert werden kann, indem Sie den Computer neu starten.
Wichtiger Hinweis: Denken Sie daran, wieder zu aktivieren Sie die Antivirus-und Anti-Spyware, bevor es wieder auf das Internet.

---------

Nächste Post fügen Sie bitte
Combofix log

Ähnliche Themen
Faden	Thread Starter	Forum	Antworten	Last Post
Muss ich haben den legendären Win32 Heur2 Trogen Alureon und Win32-Virus? How to Fix?	maddawg512	Viren, Spyware und Sicherheit	8	13. Oktober 2009 07:29
Trogen Win32 und Win32 Alureon Taken Over My Pc !!!!! Hilfe	acute18	Viren, Spyware und Sicherheit	8	2. Oktober 2009 14:35
Nafamamo.dll Fehler Windows/system32 und Virtumonde	Jacko2983	Viren, Spyware und Sicherheit	30	19. April 2009 17:24
Hilfe mit Trojan.vundo.h (Virtumonde) + Log-Dateien und ss	Jasperbak nl	Viren, Spyware und Sicherheit	32	22. Jan 2009 05:48
Virtumonde.dll, vundo hier ist mein Hijack-Log ...	mason61391	Viren, Spyware und Sicherheit	5	22. Sep 2008 19:46