Home » Viren, Trojaner & Malware Forum » TR/Vundo.Gen in datei .../pmkhg.dll löschen! » Themenansicht

TR/Vundo.Gen in datei .../pmkhg.dll löschen!

Thema ist geschlossen!
Thema ist geschlossen!
#0
10.10.2006, 22:41
bananajoe
...neu hier

Beiträge: 3
#1 hi zusammen,

ich hab folgendes problem:
sobald ich mit meinem rechner unter windows XP den internet explorer starten will, zeigt mir Avia Antivir an, dass sich ein TR/Vundo.Gen im verzeichnis C:/WINDOWS/System32/pmkhg.dll eingenistet hat!

ich komm zwar in den internet explorer rein, aber wie gesagt zeigt er mir jedesmal diese meldung an und der pc läuft insgesamt langsamer.

könnt ihr mir helfen?? ich wäre euch sehr seh dankbar.



hier ist eine log-datei die mit hijackthis ertsellt wurde:

Logfile of HijackThis v1.99.1
Scan saved at 22:38:48, on 10.10.2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Gemeinsame Dateien\{B8047B47-072F-1031-1028-040501110031}\Update.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\??stem32\l?ass.exe
C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\Programme\Steam\Steam.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Andreas\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {D290FA1F-1BD4-1353-A2A8-621343A96AE0} - C:\WINDOWS\System32\icz.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Programme\Gemeinsame Dateien\{38047B47-072F-1031-1028-040501110031}\MyToolBar.dll
O3 - Toolbar: &VSToolBar - {821F87FF-8245-4972-9E28-732E92EC2F51} - C:\Programme\VSToolbar\VSToolBar.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Oeas] "C:\WINDOWS\System32\MBOLS~1\mshta.exe" -vt yazb
O4 - HKCU\..\Run: [Hllnoy] C:\Programme\??stem32\l?ass.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

nochmals vielen dank für eure bemühungen.
Seitenanfang Seitenende
11.10.2006, 02:05
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 bananajoe

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKEY_CURRENT_USER\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKEY_CLASSES_ROOT\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{821F87FF-8245-4972-9E28-732E92EC2F51}

Files to delete:
C:\WINDOWS\System32\icz.dll
C:\WINDOWS\System32\pmkhg.dll

Folders to delete:
C:\Programme\VSToolbar
C:\Programme\Gemeinsame Dateien\{B8047B47-072F-1031-1028-040501110031}
C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SearchToolbarCorp
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


«
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
poste dieses log - so wird u.a. der Purityscan-Trojaner geloescht.......
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 13:04
bananajoe
...neu hier

Themenstarter

Beiträge: 3
#3 erstaml vielen dank für die bisherige hilfe!! ;)

sobald ich in avenger das genannte script kopiere, zeigt er mir folgendes an, ich schreibe auch dazu was ich anklicke:


zuerst habe ich das script gestartet, dann geschieht folgendes:
Syntax error in line --- does not appear to be a valid registry part. line will be ignored. -----> OK
Press OK to log error and continue or Cancel to abort -----> OK
Error code: 1813
line: -----> OK
HKEY_CURRENT_USER\CLSID\{821F87FF-8245-4972-9E28-32E92EC2F51} -----> OK

Syntax error in line --- does not appear to be a valid registry part. line will be ignored. -----> OK
Press OK to log error and continue or Cancel to abort -----> OK
Error code: 1813
line: -----> OK
HKEY_CLASSES_ROOT\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51} -----> OK

Error: could not create zip file. -----> OK
Press OK to log error and continue or Cancel to abort -----> OK
Error code: 1813 -----> OK

First step completed --- the Avenger has been succsessfully set up to run on next boot. Reeboot now? -----> Nein


zuletzt habe ich "Nein" geklickt, weil mir vorher viele fehler angezeigt wurden.
soll ich trotz der vielen fehler neustarten???

die anderen schritte habe ich natürlcih bisher noch nicht gemacht.
Seitenanfang Seitenende
11.10.2006, 13:34
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 natuerlich musst du neustarten !
dann arbeite alles weitere ab.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2006, 14:38
bananajoe
...neu hier

Themenstarter

Beiträge: 3
#5 also, da die viren sich schnell ausbreiten, und jedes mal wenn neustarte 5 fehlermaldungen mehr kommen, dass viren auf meinem pc entdeckt wurden (sind inzwischen schon über 40 meldungen), habe ich micht entschlossen meine daten zu sichern, die noch zu sichern sind und meinen pc zu formatieren!

trotzdem danke ich für die SEHR GUTE hilfe.

mfg
bananajoe
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1