Home » Spyware & Browser Hijacker Support Forum » W32/Vundo.gen1 in pmkhh.dll, hrygibdn.dll, yayvstr.dll » Themenansicht

W32/Vundo.gen1 in pmkhh.dll, hrygibdn.dll, yayvstr.dll
#0
19.09.2006, 16:45
Charlvino
zu Gast
#1 Hijackthis Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 16:35:56, on 19.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService.exe
C:\Norman\bin\NJEEVES.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Norman\bin\ZLH.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Norman\Norman Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Philipp Siegert\Eigene Dateien\Eigene Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.1:8080
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {1E85583D-C923-44D4-8917-81A929E3E72D} - C:\WINDOWS\system32\ssqro.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {B7672BAF-E9A3-49B6-86B2-C81719A18A4C} - C:\WINDOWS\system32\hrygibdn.dll (file missing)
O2 - BHO: (no name) - {D9A77F9C-8DD5-43E2-982F-A77CD2FBE66E} - C:\WINDOWS\system32\pmkhh.dll (file missing)
O2 - BHO: (no name) - {FB88FDCF-0160-4B40-8718-12136A8CADA5} - C:\WINDOWS\system32\sstqn.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Norman\Norman Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6FAAC5B-0ACA-4447-A89C-210DD0A0A620}: NameServer = 172.16.0.1
O20 - Winlogon Notify: pmkhh - C:\WINDOWS\system32\pmkhh.dll (file missing)
O20 - Winlogon Notify: ssqro - C:\WINDOWS\system32\ssqro.dll (file missing)
O20 - Winlogon Notify: sstqn - C:\WINDOWS\system32\sstqn.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winjyp32 - winjyp32.dll (file missing)
O20 - Winlogon Notify: wintfj32 - wintfj32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\system32\UAService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
CleanUp durchgeführt

ComboFix Log:

Zitat

Philipp Siegert - 06-09-19 16:25:55,76 Service Pack 2
ComboFix 06.09.19 - Running from: C:\Dokumente und Einstellungen\Philipp Siegert\Eigene Dateien\Eigene Downloads

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\{882C5933-0BB0-1031-0929-030502210031}


((((((((((((((((((((((((((((((( Files Created from 2006-08-19 to 2006-09-19 ))))))))))))))))))))))))))))))))))


2006-09-19 07:44 126,976 --a------ C:\zip.exe
2006-09-19 07:44 1,080 --a------ C:\ymyeivhu.bat
2006-09-17 20:57 774,144 --a------ C:\WINDOWS\system32\xvidcore.dll
2006-09-17 20:57 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2006-09-17 20:49 93,433 --a------ C:\WINDOWS\system32\libjpeg.dll
2006-09-17 20:49 88,576 --a------ C:\WINDOWS\system32\MMIJG32.dll
2006-09-17 20:49 86,528 --a------ C:\WINDOWS\system32\OpenQuicktimeLib.dll
2006-09-17 20:49 8,704 --a------ C:\WINDOWS\system32\TomsMoComp_ff.dll
2006-09-17 20:49 77,664 --a------ C:\WINDOWS\system32\IR21_R.DLL
2006-09-17 20:49 76,800 --a------ C:\WINDOWS\system32\m3jpeg32.dll
2006-09-17 20:49 755,200 --a------ C:\WINDOWS\system32\Ir50_32.dll
2006-09-17 20:49 75,264 --a------ C:\WINDOWS\system32\AVMjpg32.dll
2006-09-17 20:49 73,216 --a------ C:\WINDOWS\system32\unrar.dll
2006-09-17 20:49 72,192 --a------ C:\WINDOWS\system32\pdvcodec.dll
2006-09-17 20:49 65,024 --a------ C:\WINDOWS\system32\ir32_32.dll
2006-09-17 20:49 54,784 --a------ C:\WINDOWS\system32\libpng13.dll
2006-09-17 20:49 41,984 --a------ C:\WINDOWS\system32\Ir50_qc.dll
2006-09-17 20:49 41,472 --a------ C:\WINDOWS\system32\ir41_qcx.dll
2006-09-17 20:49 40,448 --a------ C:\WINDOWS\system32\Ir50_qcx.dll
2006-09-17 20:49 37,888 --a------ C:\WINDOWS\system32\CSEDV.DLL
2006-09-17 20:49 335,872 --a------ C:\WINDOWS\system32\3ivxVfWCodec.dll
2006-09-17 20:49 33,280 --a------ C:\WINDOWS\system32\ir41_qc.dll
2006-09-17 20:49 31,744 --a------ C:\WINDOWS\system32\libfaad.dll
2006-09-17 20:49 31,232 --a------ C:\WINDOWS\system32\CSCdvsd.DLL
2006-09-17 20:49 31,232 --a------ C:\WINDOWS\system32\CSCCDVC.DLL
2006-09-17 20:49 30,720 --a------ C:\WINDOWS\system32\avmcdc32.dll
2006-09-17 20:49 28,672 --a------ C:\WINDOWS\system32\libmpeg2_ff.dll
2006-09-17 20:49 23,040 --a------ C:\WINDOWS\system32\zlib.dll
2006-09-17 20:49 20,480 --a------ C:\WINDOWS\system32\VBLE.dll
2006-09-17 20:49 198,656 --a------ C:\WINDOWS\system32\pvmjpg21.dll
2006-09-17 20:49 19,968 --a------ C:\WINDOWS\system32\Iyvu9_32.dll
2006-09-17 20:49 180,736 --a------ C:\WINDOWS\system32\vfcodec.dll
2006-09-17 20:49 17,920 --a------ C:\WINDOWS\system32\huffyuv_dx_8_1_fix.dll
2006-09-17 20:49 17,920 --a------ C:\WINDOWS\system32\huffyuv.dll
2006-09-17 20:49 162,816 --a------ C:\WINDOWS\system32\avisynth.dll
2006-09-17 20:49 16,384 --a------ C:\WINDOWS\system32\dsrmp4.dll
2006-09-17 20:49 144,384 --a------ C:\WINDOWS\system32\Iacenc.dll
2006-09-17 20:49 135,680 --a------ C:\WINDOWS\system32\3ivx.dll
2006-09-17 20:49 133,120 --a------ C:\WINDOWS\system32\lcodccmp.dll
2006-09-17 20:49 132,096 --a------ C:\WINDOWS\system32\libavcodec.dll
2006-09-17 20:49 122,944 --a------ C:\WINDOWS\system32\divxc32f.dll
2006-09-17 20:49 122,880 --a------ C:\WINDOWS\system32\rmp4.dll
2006-09-17 20:49 121,344 --a------ C:\WINDOWS\system32\DivXc32.dll
2006-09-17 20:49 120,832 --a------ C:\WINDOWS\system32\mpg4c32.dll
2006-09-17 20:49 115,200 --a------ C:\WINDOWS\system32\proppage.dll
2006-09-17 20:49 110,592 --a------ C:\WINDOWS\system32\iccvid.dll
2006-09-17 20:49 11,264 --a------ C:\WINDOWS\system32\ir50_lcs.dll
2006-09-10 23:56 720,599 ---hs---- C:\WINDOWS\system32\hhkmp.ini2
2006-09-06 10:49 91,136 --a------ C:\WINDOWS\system32\Jpeglib.dll
2006-09-06 10:49 308,736 --a------ C:\WINDOWS\system32\Fpxlib.dll
2006-09-03 23:21 720,615 ---hs---- C:\WINDOWS\system32\hhkmp.bak2
2006-09-02 23:21 692,276 C:\WINDOWS\system32\pmkhh.dll
2006-09-02 23:21 622,118 ---hs---- C:\WINDOWS\system32\hhkmp.bak1


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-19 16:27 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-19 16:07 -------- d-------- C:\Programme\Minilyrics
2006-09-19 07:44 60416 --a------ C:\WINDOWS\system32\drivers\dwpkttjv.sys
2006-09-19 07:11 -------- d-------- C:\Programme\CleanUp!
2006-09-18 16:35 56320 --a------ C:\Dokumente und Einstellungen\Philipp Siegert\Anwendungsdaten\wklnhst.dat
2006-09-17 20:57 -------- d-------- C:\Programme\XviD
2006-09-17 20:49 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-17 20:49 -------- d-------- C:\Programme\VirtualDub
2006-09-17 20:49 -------- d-------- C:\Programme\Tsunami-Filter-Pack
2006-09-17 20:49 -------- d-------- C:\Programme\Avisynth
2006-09-17 20:40 -------- d-------- C:\Programme\DivXCodec
2006-09-10 16:43 -------- d-------- C:\Programme\PSFtp 1.3
2006-09-06 10:50 -------- d-------- C:\Programme\VideoLink Mail
2006-09-06 10:50 -------- d-------- C:\Programme\VideoLink
2006-09-06 10:49 -------- d-------- C:\Programme\Philips Vesta Camera
2006-09-06 10:49 -------- d-------- C:\Programme\Philips PC VGA Camera
2006-09-06 10:45 -------- d-------- C:\Programme\Gemeinsame Dateien\Smith Micro Shared
2006-09-03 00:46 -------- d-------- C:\Programme\WinRAR
2006-09-02 23:11 -------- d-------- C:\Dokumente und Einstellungen\Philipp Siegert\Anwendungsdaten\Apple Computer
2006-09-02 23:10 -------- d-------- C:\Programme\QuickTime
2006-09-02 22:20 -------- d-------- C:\Programme\DVD Shrink
2006-09-01 10:34 -------- d---s---- C:\Dokumente und Einstellungen\Philipp Siegert\Anwendungsdaten\Microsoft
2006-09-01 10:34 -------- d-------- C:\Programme\eBay
2006-08-30 18:35 -------- d-------- C:\Dokumente und Einstellungen\Philipp Siegert\Anwendungsdaten\Nvu
2006-08-27 21:53 -------- d-------- C:\Programme\Internet Explorer
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-05 16:30 -------- d-------- C:\Dokumente und Einstellungen\Philipp Siegert\Anwendungsdaten\AdobeUM
2006-08-03 18:09 -------- d-------- C:\Programme\ICQLite
2006-07-28 20:35 562202 ---hs---- C:\WINDOWS\system32\orqss.bak2
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-06-22 07:06 69120 --a------ C:\WINDOWS\system32\ciodm.dll
2006-06-22 07:06 1441792 --a------ C:\WINDOWS\system32\query.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"STYLEXP"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"Dit"="Dit.exe"
"CHotkey"="mHotkey.exe"
"PCMService"="\"C:\\Programme\\Medion Home Cinema XL II\\PowerCinema\\PCMService.exe\""
"PRISMSTA.EXE"="PRISMSTA.EXE START"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"Norman ZANDA"="C:\\Norman\\bin\\ZLH.EXE /LOAD /SPLASH"
"PinnacleDriverCheck"="C:\\WINDOWS\\System32\\PSDrvCheck.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"InCD"="C:\\Programme\\Nero\\Nero 7\\InCD\\InCD.exe"
"AWMON"="\"C:\\Programme\\Norman\\Norman Ad-Aware SE Professional\\Ad-Watch.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqro
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqn
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjyp32
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wintfj32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 19.09.2006 16:27:59.98
ComboFix.txt
datfind.bat Log:
system32.txt:

Zitat

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS\system32

19.09.2006 16:30 720.615 hhkmp.ini2
19.09.2006 16:24 720.615 hhkmp.bak2
19.09.2006 16:23 2.206 wpa.dbl
19.09.2006 16:08 390.050 perfh009.dat
19.09.2006 16:08 67.626 perfc007.dat
19.09.2006 16:08 401.908 perfh007.dat
19.09.2006 16:08 56.384 perfc009.dat
19.09.2006 16:08 927.204 PerfStringBackup.INI
17.09.2006 22:19 97 mcrh.tmp
11.09.2006 19:37 8.960.936 MRT.exe
10.09.2006 23:56 621.703 hhkmp.tmp
10.09.2006 23:56 621.703 hhkmp.ini
10.09.2006 14:36 622.118 hhkmp.bak1
02.09.2006 23:21 692.276 pmkhh.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
29.07.2006 13:13 565.625 orqss.ini
28.07.2006 20:35 562.202 orqss.bak2
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 8.192 rasadhlp.dll
26.06.2006 19:40 148.480 dnsapi.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 10:53 27.136 xpsp3res.dll
22.06.2006 07:06 1.441.792 query.dll
22.06.2006 07:06 69.120 ciodm.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
temp.txt:

Zitat

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\DOKUME~1\PHILIP~1\LOKALE~1\Temp
windows.txt:

Zitat

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\WINDOWS

19.09.2006 16:24 531.494 setupapi.log
19.09.2006 16:16 192 winamp.ini
19.09.2006 16:04 0 0.log
19.09.2006 16:04 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
19.09.2006 16:04 159 wiadebug.log
19.09.2006 16:04 1.090.461 WindowsUpdate.log
19.09.2006 16:03 50 wiaservc.log
19.09.2006 16:03 2.048 bootstat.dat
19.09.2006 07:45 32.634 SchedLgU.Txt
19.09.2006 07:41 324.399 setupact.log
17.09.2006 22:19 116 NeroDigital.ini
17.09.2006 20:32 1.409 QTFont.for
17.09.2006 20:32 54.156 QTFont.qfn
15.09.2006 06:41 58.952 ocmsn.log
15.09.2006 06:41 255.191 ntdtcsetup.log
15.09.2006 06:41 163.419 iis6.log
15.09.2006 06:41 1.374 imsins.log
15.09.2006 06:41 481.205 tsoc.log
15.09.2006 06:41 398.910 comsetup.log
15.09.2006 06:41 12.495 KB920685.log
15.09.2006 06:41 731.980 ocgen.log
15.09.2006 06:41 63.041 msgsocm.log
15.09.2006 06:41 1.163.518 FaxSetup.log
15.09.2006 06:41 1.374 imsins.BAK
15.09.2006 06:41 14.191 KB920872.log
15.09.2006 06:40 12.658 KB919007.log
15.09.2006 06:40 8.644 KB922582.log
15.09.2006 06:40 38.142 updspapi.log
12.09.2006 09:06 979 win.ini
07.09.2006 13:44 1.488.196 ntbtlog.txt
06.09.2006 12:30 536.428.544 MEMORY.DMP
06.09.2006 10:50 503 SMSI.INI
28.08.2006 21:09 62.918 spupdsvc.log
27.08.2006 21:55 17.148 KB920214.log
27.08.2006 21:55 16.910 KB921883.log
27.08.2006 21:55 16.720 KB922616.log
27.08.2006 21:55 24.970 WgaNotify.log
27.08.2006 21:54 16.695 KB921398.log
27.08.2006 21:54 19.883 KB918899.log
27.08.2006 21:53 12.130 KB920670.log
27.08.2006 21:53 12.308 KB917422.log
27.08.2006 21:52 12.513 KB920683.log
28.07.2006 19:09 7.314.344 dp2_log.txt
15.07.2006 12:11 11.834 KB917159.log
15.07.2006 12:10 12.345 KB914388.log
15.07.2006 12:10 10.361 KB916595.log
11.07.2006 19:10 19.474 wmsetup.log
09.07.2006 22:26 8.911 DirectX.log
23.06.2006 15:42 6.828 mozver.dat
14.06.2006 12:56 12.757 KB917734.log
14.06.2006 12:55 14.222 KB918439.log
14.06.2006 12:55 14.580 KB917344.log
14.06.2006 12:55 14.354 KB917953.log
14.06.2006 12:55 14.335 KB911280.log
14.06.2006 12:54 17.653 KB916281.log
14.06.2006 12:54 11.532 KB914389.log
c.txt:

Zitat

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 882C-5933

Verzeichnis von C:\

19.09.2006 16:31 0 sys.txt
19.09.2006 16:31 19.177 system.txt
19.09.2006 16:31 127 systemtemp.txt
19.09.2006 16:30 110.716 system32.txt
19.09.2006 16:29 10.833 ComboFix.txt
19.09.2006 16:03 536.399.872 hiberfil.sys
19.09.2006 16:03 805.306.368 pagefile.sys
19.09.2006 16:03 704 avenger.txt
19.09.2006 07:44 1.080 ymyeivhu.bat
19.09.2006 07:44 126.976 zip.exe
19.09.2006 07:41 927 rapport.txt
19.09.2006 07:39 210 VundoFix.txt
17.09.2006 20:32 399.297 reclock_log.txt
24.07.2006 13:21 45 TEST.XML
06.07.2005 17:41 211 boot.ini
06.07.2005 17:34 47.564 NTDETECT.COM
06.07.2005 17:34 251.184 ntldr
Problembeschreibung:

Mein Norman findet im Ordner C:\Windows\System32\ die Dateien pmkhh.dll, hrygibdn.dll und yayvstr.dll. Anscheinend ist das ein Virus W32/Vundo.gen1. Aber löschen kann Norman sie nicht, er meldet immer wieder die drei.

Vielen Dank schon im Voraus!
Dieser Beitrag wurde am 19.09.2006 um 16:49 Uhr von Charlvino editiert.
Seitenanfang Seitenende
20.09.2006, 01:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\drivers\dwpkttjv.sys

poste den report

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqro
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqn
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjyp32
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wintfj32

Files to delete:
C:\WINDOWS\system32\ssqro.dll
C:\WINDOWS\system32\sstqn.dll
C:\WINDOWS\system32\hhkmp.ini2
C:\WINDOWS\system32\hhkmp.bak2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\hhkmp.tmp
C:\WINDOWS\system32\hhkmp.ini
C:\WINDOWS\system32\hhkmp.bak1
C:\WINDOWS\system32\pmkhh.dll
C:\WINDOWS\system32\orqss.ini
C:\WINDOWS\system32\orqss.bak2
C:\ymyeivhu.bat


Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {1E85583D-C923-44D4-8917-81A929E3E72D} - C:\WINDOWS\system32\ssqro.dll (file missing)
O2 - BHO: (no name) - {B7672BAF-E9A3-49B6-86B2-C81719A18A4C} - C:\WINDOWS\system32\hrygibdn.dll (file missing)
O2 - BHO: (no name) - {D9A77F9C-8DD5-43E2-982F-A77CD2FBE66E} - C:\WINDOWS\system32\pmkhh.dll (file missing)
O2 - BHO: (no name) - {FB88FDCF-0160-4B40-8718-12136A8CADA5} - C:\WINDOWS\system32\sstqn.dll (file missing)

O20 - Winlogon Notify: pmkhh - C:\WINDOWS\system32\pmkhh.dll (file missing)
O20 - Winlogon Notify: ssqro - C:\WINDOWS\system32\ssqro.dll (file missing)
O20 - Winlogon Notify: sstqn - C:\WINDOWS\system32\sstqn.dll (file missing)

O20 - Winlogon Notify: winjyp32 - winjyp32.dll (file missing)
O20 - Winlogon Notify: wintfj32 - wintfj32.dll (file missing)



__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.09.2006, 17:38
Charlvino
zu Gast

Themenstarter
#3 VirusTotal:

Zitat

Complete scanning result of "dwpkttjv.sys", received in VirusTotal at 09.20.2006, 17:26:21 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.20.2006 no virus found
Authentium 4.93.8 09.20.2006 no virus found
Avast 4.7.844.0 09.19.2006 no virus found
AVG 386 09.19.2006 no virus found
BitDefender 7.2 09.20.2006 no virus found
CAT-QuickHeal 8.00 09.20.2006 no virus found
ClamAV devel-20060426 09.20.2006 no virus found
eTrust-InoculateIT 23.73.0 09.20.2006 no virus found
eTrust-Vet 30.3.3088 09.20.2006 no virus found
DrWeb 4.33 09.20.2006 no virus found
Ewido 4.0 09.20.2006 no virus found
Fortinet 2.82.0.0 09.20.2006 no virus found
F-Prot 3.16f 09.20.2006 no virus found
F-Prot4 4.2.1.29 09.20.2006 no virus found
Ikarus 0.2.65.0 09.20.2006 no virus found
Kaspersky 4.0.2.24 09.20.2006 no virus found
McAfee 4855 09.19.2006 no virus found
Microsoft 1.1560 09.19.2006 no virus found
NOD32v2 1.1764 09.20.2006 no virus found
Norman 5.80.02 09.20.2006 no virus found
Panda 9.0.0.4 09.20.2006 no virus found
Sophos 4.09.0 09.20.2006 no virus found
Symantec 8.0 09.20.2006 no virus found
TheHacker 6.0.1.074 09.20.2006 no virus found
UNA 1.83 09.20.2006 no virus found
VBA32 3.11.1 09.19.2006 no virus found
VirusBuster 4.3.7:9 09.20.2006 no virus found

Aditional Information
File size: 60416 bytes
MD5: 4ad5d5229f85f42e873fda98190b2f19
SHA1: 7e1bc7c4f0324c0ad58b829b2524e0cb617ef158
Seitenanfang Seitenende
20.09.2006, 17:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ich finde den Driver sehr eigenartig, was hast du am 2006-09-19 07:44 installiert ???

2006-09-19 07:44 60416 --a------ C:\WINDOWS\system32\drivers\dwpkttjv.sys
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.09.2006, 17:53
Charlvino
zu Gast

Themenstarter
#5 Um diese Uhrzeit hab ich schon versucht den Virus loszuwerden. Driver hab ich eigentlich nicht installiert, nur Hijackthis, CleanUp, Avenger, etc., um den Virus wieder loszuwerden.

Eben habe ich versucht, das Script in den Avenger einzugeben und durchlaufen zu lassen, aber Avenger bricht immer ab, weil er einen Fehler ("Error 0") findet. Das Log kam nach dem Neustart auch nicht...

Bei HijackThis konnte ich nur die O2 - BHO fixen, die Winlogon Notifies fand er nach dem Scannen gar nicht.
Seitenanfang Seitenende
20.09.2006, 23:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 loesche diesen Driver....mit der killbox
http://virus-protect.org/killbox.html
C:\WINDOWS\system32\drivers\dwpkttjv.sys

-------------

den Avenger wende solange an, bis es trotz Fehlermeldungen funktioniert und berichte ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1