Vundo.Gen kann ich nicht löschen

#0
26.06.2007, 14:37
...neu hier

Beiträge: 7
#1 Guten Tag
Ich habe mir den Vundo.Gen Trojaner eingefangen und kann ihn nicht mehr löschen. Hier das hijackthis file:

Logfile of HijackThis v1.99.1
Scan saved at 14:34:53, on 26.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Norman\Npm\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Norman\Npm\bin\ZLH.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\vohjnvrl.dll",forkonce
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBB92B08-086C-4578-ACDA-A6CADB1E95D6}: NameServer = 195.186.1.110,195.186.1.111
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

was kann ich machen?
Vielen Dank Wladimir
Seitenanfang Seitenende
26.06.2007, 14:47
Moderator

Beiträge: 7805
#2 Poste bitte noch ein Combofix und Datfind Report und nutze ATFCleaner: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.06.2007, 14:52
...neu hier

Themenstarter

Beiträge: 7
#3 ComboFix 07-06-18.2
"Eugster" - 2007-06-26 14:44:01 - Service Pack 2 NTFS


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\nmllm.bak1
C:\WINDOWS\system32\nmllm.bak2
C:\WINDOWS\system32\nmllm.ini
C:\WINDOWS\system32\nmllm.ini2
C:\WINDOWS\system32\nmllm.tmp
C:\WINDOWS\system32\nmllm.bak1
C:\WINDOWS\system32\nmllm.bak2
C:\WINDOWS\system32\nmllm.ini
C:\WINDOWS\system32\nmllm.ini2
C:\WINDOWS\system32\nmllm.tmp
C:\WINDOWS\system32\mllmn.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 )))))))))))))))))))))))))))))))


2007-06-26 14:43 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-26 14:17 128,576 --a------ C:\WINDOWS\system32\vohjnvrl.dll
2007-06-26 14:14 66,112 --a------ C:\WINDOWS\system32\srmrtafy.dll
2007-06-26 07:50 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-06-26 07:50 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-06-26 07:50 38,912 --------- C:\WINDOWS\system32\picn20.dll
2007-06-26 07:50 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-06-26 07:50 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-06-26 07:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-06-26 07:50 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-06-26 07:50 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-06-26 07:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-06-26 07:50 <DIR> d-------- C:\Programme\Ahead
2007-06-26 07:29 4,672 --a------ C:\WINDOWS\system32\iyxmqduy.exe
2007-06-25 17:19 31,254 --a------ C:\WINDOWS\system32\qomnnop.dll
2007-06-19 15:47 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-06-19 15:47 <DIR> d-------- C:\DOKUME~1\Eugster\ANWEND~1\Canon
2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQU112.DLL
2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQA2410.dll
2007-06-19 15:46 262,144 --a------ C:\WINDOWS\system32\CNQL2410.dll
2007-06-19 15:46 <DIR> d--h----- C:\CanoScan
2007-06-19 15:27 <DIR> d-------- C:\Programme\Canon
2007-05-31 11:34 <DIR> d-------- C:\Programme\ZiLOG


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-26 05:34:21 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Ahead
2007-06-19 13:46:35 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-31 12:51:22 17,464 ----a-w C:\WINDOWS\system32\drivers\nvcw32mf.sys
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-09 14:29:27 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Help
2007-05-03 07:04:27 -------- d-----r C:\DOKUME~1\Eugster\ANWEND~1\Brother
2007-05-03 05:42:16 -------- d-----w C:\Programme\Gemeinsame Dateien\Brother
2007-05-03 05:42:12 -------- d-----w C:\Programme\Brother
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-03-26 05:26:48 78,368 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-26 05:26:48 443,116 ----a-w C:\WINDOWS\system32\perfh007.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx [2001-04-16 16:39]
{1F6581D5-AA53-4b73-A6F9-41420C6B61F1}=C:\WINDOWS\system32\srmrtafy.dll [2007-06-26 14:14]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{9DB64C21-2793-48A6-B598-0A6E3190AB97}=C:\WINDOWS\system32\qomnnop.dll [2007-06-25 17:19]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-06-30 14:33]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2004-07-07 15:56]
"Norman ZANDA"="C:\Norman\Npm\bin\ZLH.exe" [2007-04-27 13:54]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-09-20 18:22]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-09-20 18:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{9DB64C21-2793-48A6-B598-0A6E3190AB97}"="C:\WINDOWS\system32\qomnnop.dll" [2007-06-25 17:19]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomnnop]
qomnnop.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0 relog_ap


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-26 14:48:14
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-26 14:50:05 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-26 14:50

--- E O F ---






///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////







.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: A00F-4753

Verzeichnis von C:\WINDOWS\system32

26.06.2007 14:48 2.206 wpa.dbl
26.06.2007 14:46 915.950 lrvnjhov.ini
26.06.2007 14:17 128.576 vohjnvrl.dll
26.06.2007 14:14 66.112 srmrtafy.dll
26.06.2007 07:29 4.672 iyxmqduy.exe
25.06.2007 17:26 0 mcrh.tmp
25.06.2007 17:19 31.254 qomnnop.dll
19.06.2007 15:29 169.896 FNTCACHE.DAT
06.06.2007 08:38 15.747.032 MRT.exe
23.05.2007 09:55 4.254 jupdate-1.6.0_01-b06.log
16.05.2007 17:11 683.520 inetcomm.dll
08.05.2007 10:59 3.583.488 mshtml.dll
25.04.2007 16:22 144.896 schannel.dll
25.04.2007 09:42 822.784 wininet.dll
25.04.2007 09:42 232.960 webcheck.dll
25.04.2007 09:42 1.152.000 urlmon.dll
25.04.2007 09:42 670.720 mstime.dll
25.04.2007 09:42 102.400 occache.dll
25.04.2007 09:42 105.984 url.dll
25.04.2007 09:42 193.024 msrating.dll
25.04.2007 09:42 477.696 mshtmled.dll
25.04.2007 09:41 52.224 msfeedsbs.dll
25.04.2007 09:41 459.264 msfeeds.dll
25.04.2007 09:41 27.648 jsproxy.dll
25.04.2007 09:41 1.824.768 inetcpl.cpl
25.04.2007 09:41 267.776 iertutil.dll
25.04.2007 09:41 6.058.496 ieframe.dll
25.04.2007 09:41 44.544 iernonce.dll
25.04.2007 09:41 384.512 iedkcs32.dll
25.04.2007 09:41 383.488 ieapfltr.dll
25.04.2007 09:41 153.088 ieakeng.dll
25.04.2007 09:41 124.928 advpack.dll
25.04.2007 09:41 132.608 extmgr.dll
25.04.2007 09:41 230.400 ieaksie.dll
24.04.2007 16:26 13.824 ieudinit.exe
24.04.2007 11:58 56.832 ie4uinit.exe
24.04.2007 09:34 161.792 ieakui.dll
18.04.2007 18:13 2.854.400 msi.dll
17.04.2007 11:32 2.455.488 ieapfltr.dat
16.04.2007 22:47 33.624 wups.dll
16.04.2007 22:47 30.040 wuapi.dll.mui
16.04.2007 22:47 30.040 wuaucpl.cpl.mui
16.04.2007 22:45 1.710.936 wuaueng.dll
16.04.2007 22:45 549.720 wuapi.dll
16.04.2007 22:45 325.976 wucltui.dll
16.04.2007 22:45 216.408 wuaucpl.cpl
16.04.2007 22:45 203.096 wuweb.dll
16.04.2007 22:45 92.504 cdm.dll
16.04.2007 22:45 43.352 wups2.dll
16.04.2007 22:45 20.824 wuaueng.dll.mui
16.04.2007 22:45 53.080 wuauclt.exe
16.04.2007 22:44 34.136 wucltui.dll.mui
16.04.2007 17:53 1.058.304 kernel32.dll
02.04.2007 14:21 428.032 swreg.exe
26.03.2007 07:26 428.032 perfh009.dat
26.03.2007 07:26 443.116 perfh007.dat
26.03.2007 07:26 66.434 perfc009.dat
26.03.2007 07:26 78.368 perfc007.dat
26.03.2007 07:26 1.029.844 PerfStringBackup.INI
23.03.2007 06:07 1.683.280 XpsSvcs.dll
23.03.2007 06:07 583.504 XPSSHHDR.dll
22.03.2007 20:25 124.928 prntvpt.dll
17.03.2007 15:44 293.376 winsrv.dll
15.03.2007 09:22 9.132 jupdate-1.5.0_10-b03.log
14.03.2007 17:12 30 brss01a.ini
14.03.2007 17:12 184 brsvc01a.bsi
14.03.2007 14:28 5.574 HLDRV.LOG
14.03.2007 13:58 304.640 hlvdd.dll
14.03.2007 09:47 122.142 TZLog.log
14.03.2007 02:04 139.264 javaws.exe
14.03.2007 02:04 69.632 javacpl.cpl
14.03.2007 00:31 135.168 javaw.exe
14.03.2007 00:31 135.168 java.exe
13.03.2007 18:02 579 $winnt$.inf
13.03.2007 17:58 2.951 CONFIG.NT
13.03.2007 17:58 16.832 amcompat.tlb
13.03.2007 17:58 23.392 nscompat.tlb
13.03.2007 17:57 488 WindowsLogon.manifest
13.03.2007 17:57 488 logonui.exe.manifest
13.03.2007 17:57 749 ncpa.cpl.manifest
13.03.2007 17:57 749 sapi.cpl.manifest
13.03.2007 17:57 749 cdplayer.exe.manifest
13.03.2007 17:57 749 wuaucpl.cpl.manifest
13.03.2007 17:57 749 nwc.cpl.manifest
13.03.2007 17:56 21.740 emptyregdb.dat
13.03.2007 17:54 0 h323log.txt
09.03.2007 13:51 270.336 xpsp3res.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:32 1.843.712 win32k.sys
28.02.2007 18:02 2.138.624 ntoskrnl.exe
28.02.2007 18:02 2.018.304 ntkrnlpa.exe
15.02.2007 19:01 337.280 WgaTray.exe


Genügt das? Vielen Dank
Seitenanfang Seitenende
26.06.2007, 14:56
Moderator

Beiträge: 7805
#4 Etwas hat Combofix ja schon bereinigt.

Ich habe dir untern eine Datei angehaengt, kopiere sie bitte in den Ordner, wo sich auch die Comboofix Datei befindet und ziehe diese Datei auf die Combofix.exe und lasse sie dort "fallen".




Danach bitte neu starten und ein neues Hijackthis und Combofix report erstellen und posten.

Es waere hilfreich, wenn du den ganzen Ordner c:\Qoobox packen und an virus@protecus.de schicken koenntest


__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.06.2007, 15:16
...neu hier

Themenstarter

Beiträge: 7
#5 ComboFix 07-06-18.2 - D:\Virusschutz\ComboFix.exe
"Eugster" - 2007-06-26 15:03:51 - Service Pack 2 NTFS
Command switches used :: D:\Virusschutz\ComboFix-Do.txt


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\yyadd.bak1
C:\WINDOWS\system32\yyadd.ini
C:\WINDOWS\system32\ddayy.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 )))))))))))))))))))))))))))))))


2007-06-26 14:43 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-26 14:17 128,576 --a------ C:\WINDOWS\system32\vohjnvrl.dll
2007-06-26 14:14 66,112 --a------ C:\WINDOWS\system32\srmrtafy.dll
2007-06-26 07:50 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-06-26 07:50 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-06-26 07:50 38,912 --------- C:\WINDOWS\system32\picn20.dll
2007-06-26 07:50 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-06-26 07:50 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-06-26 07:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-06-26 07:50 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-06-26 07:50 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-06-26 07:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-06-26 07:50 <DIR> d-------- C:\Programme\Ahead
2007-06-26 07:29 4,672 --a------ C:\WINDOWS\system32\iyxmqduy.exe
2007-06-25 17:19 31,254 --a------ C:\WINDOWS\system32\qomnnop.dll
2007-06-19 15:47 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-06-19 15:47 <DIR> d-------- C:\DOKUME~1\Eugster\ANWEND~1\Canon
2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQU112.DLL
2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQA2410.dll
2007-06-19 15:46 262,144 --a------ C:\WINDOWS\system32\CNQL2410.dll
2007-06-19 15:46 <DIR> d--h----- C:\CanoScan
2007-06-19 15:27 <DIR> d-------- C:\Programme\Canon
2007-05-31 11:34 <DIR> d-------- C:\Programme\ZiLOG


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-26 05:34:21 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Ahead
2007-06-19 13:46:35 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-31 12:51:22 17,464 ----a-w C:\WINDOWS\system32\drivers\nvcw32mf.sys
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-09 14:29:27 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Help
2007-05-03 07:04:27 -------- d-----r C:\DOKUME~1\Eugster\ANWEND~1\Brother
2007-05-03 05:42:16 -------- d-----w C:\Programme\Gemeinsame Dateien\Brother
2007-05-03 05:42:12 -------- d-----w C:\Programme\Brother
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-03-26 05:26:48 78,368 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-26 05:26:48 443,116 ----a-w C:\WINDOWS\system32\perfh007.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx [2001-04-16 16:39]
{1F6581D5-AA53-4b73-A6F9-41420C6B61F1}=C:\WINDOWS\system32\srmrtafy.dll [2007-06-26 14:14]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{9DB64C21-2793-48A6-B598-0A6E3190AB97}=C:\WINDOWS\system32\qomnnop.dll [2007-06-25 17:19]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-06-30 14:33]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2004-07-07 15:56]
"Norman ZANDA"="C:\Norman\Npm\bin\ZLH.exe" [2007-04-27 13:54]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-09-20 18:22]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-09-20 18:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{9DB64C21-2793-48A6-B598-0A6E3190AB97}"="C:\WINDOWS\system32\qomnnop.dll" [2007-06-25 17:19]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomnnop]
qomnnop.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0 relog_ap


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-26 15:07:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-26 15:08:52 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-26 15:08
C:\ComboFix2.txt ... 2007-06-26 14:50

--- E O F ---


und





Logfile of HijackThis v1.99.1
Scan saved at 15:15:47, on 26.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Norman\Npm\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Norman\Npm\bin\ZLH.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\internet explorer\iexplore.exe
D:\Virusschutz\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\srmrtafy.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {9DB64C21-2793-48A6-B598-0A6E3190AB97} - C:\WINDOWS\system32\qomnnop.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBB92B08-086C-4578-ACDA-A6CADB1E95D6}: NameServer = 195.186.1.110,195.186.1.111
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: qomnnop - C:\WINDOWS\SYSTEM32\qomnnop.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

ist das ok?
Danke für die rasche Antwort und die QooBox.zip wird soeben verschickt per eMail.

Edit 15:33 Uhr:
eMail mit File wurde verschickt. Ist der Trojaner/Virus jetzt behoben?
Vielen Dank
Dieser Beitrag wurde am 26.06.2007 um 15:34 Uhr von wladimir editiert.
Seitenanfang Seitenende
26.06.2007, 15:37
Moderator

Beiträge: 7805
#6 Hm, nicht wirklich. Hat das mit der ComboFix-Do.txt funktioniert?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.06.2007, 15:39
...neu hier

Themenstarter

Beiträge: 7
#7 Ja hat funktioniert, hat auch irgendwann mal diese Zeilen von deiner Datei angezeigt:

C:\WINDOWS\system32\vohjnvrl.dll
C:\WINDOWS\system32\srmrtafy.dll
C:\WINDOWS\system32\iyxmqduy.exe
C:\WINDOWS\system32\qomnnop.dll

oder so ähnlich zumindest, weiss nicht ob der Pfad auch angezeigt wurde. Ich mache nochmals ComboFix und Hijack und poste danach nochmals, bis in ca. 10min...


ok hier die Files:

Code

2007-06-25 17:24      266336    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\mllmn.dll.vir
2007-06-25 17:24      6409    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\nmllm.bak1.vir
2007-06-25 17:26      6599    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\nmllm.ini.vir
2007-06-25 17:28      125    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\nmllm.tmp.vir
2007-06-26 14:11      1152557    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\nmllm.bak2.vir
2007-06-26 14:46      1154977    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\nmllm.ini2.vir
2007-06-26 14:53      266336    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\ddayy.dll.vir
2007-06-26 14:53      6369    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\yyadd.bak1.vir
2007-06-26 15:05      102    --a------    C:\Qoobox\Quarantine\catchme.log
2007-06-26 15:05      6764    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\yyadd.ini.vir


Auflistung der Ordnerpfade fr Volume Programme
Volumenummer: A00F-4753
C:\QOOBOX
\---Quarantine
    |   catchme.log
    |  
    +---C
    |   \---WINDOWS
    |       \---system32
    |               ddayy.dll.vir
    |               mllmn.dll.vir
    |               nmllm.bak1.vir
    |               nmllm.bak2.vir
    |               nmllm.ini.vir
    |               nmllm.ini2.vir
    |               nmllm.tmp.vir
    |               yyadd.bak1.vir
    |               yyadd.ini.vir
    |              
    \---Registry_backups
ComboFix 07-06-18.2 - D:\Virusschutz\ComboFix.exe
"Eugster" - 2007-06-26 15:40:46 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 )))))))))))))))))))))))))))))))


2007-06-26 14:43 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-26 14:17 128,576 --a------ C:\WINDOWS\system32\vohjnvrl.dll
2007-06-26 14:14 66,112 --a------ C:\WINDOWS\system32\srmrtafy.dll
2007-06-26 07:50 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-06-26 07:50 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-06-26 07:50 38,912 --------- C:\WINDOWS\system32\picn20.dll
2007-06-26 07:50 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-06-26 07:50 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-06-26 07:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-06-26 07:50 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-06-26 07:50 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-06-26 07:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-06-26 07:50 <DIR> d-------- C:\Programme\Ahead
2007-06-26 07:29 4,672 --a------ C:\WINDOWS\system32\iyxmqduy.exe
2007-06-25 17:19 31,254 --a------ C:\WINDOWS\system32\qomnnop.dll
2007-06-19 15:47 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-06-19 15:47 <DIR> d-------- C:\DOKUME~1\Eugster\ANWEND~1\Canon
2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQU112.DLL
2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQA2410.dll
2007-06-19 15:46 262,144 --a------ C:\WINDOWS\system32\CNQL2410.dll
2007-06-19 15:46 <DIR> d--h----- C:\CanoScan
2007-06-19 15:27 <DIR> d-------- C:\Programme\Canon
2007-05-31 11:34 <DIR> d-------- C:\Programme\ZiLOG


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-26 05:34:21 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Ahead
2007-06-19 13:46:35 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-31 12:51:22 17,464 ----a-w C:\WINDOWS\system32\drivers\nvcw32mf.sys
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-09 14:29:27 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Help
2007-05-03 07:04:27 -------- d-----r C:\DOKUME~1\Eugster\ANWEND~1\Brother
2007-05-03 05:42:16 -------- d-----w C:\Programme\Gemeinsame Dateien\Brother
2007-05-03 05:42:12 -------- d-----w C:\Programme\Brother
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-03-26 05:26:48 78,368 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-26 05:26:48 443,116 ----a-w C:\WINDOWS\system32\perfh007.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx [2001-04-16 16:39]
{1F6581D5-AA53-4b73-A6F9-41420C6B61F1}=C:\WINDOWS\system32\srmrtafy.dll [2007-06-26 14:14]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{9DB64C21-2793-48A6-B598-0A6E3190AB97}=C:\WINDOWS\system32\qomnnop.dll [2007-06-25 17:19]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-06-30 14:33]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2004-07-07 15:56]
"Norman ZANDA"="C:\Norman\Npm\bin\ZLH.exe" [2007-04-27 13:54]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-09-20 18:22]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-09-20 18:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{9DB64C21-2793-48A6-B598-0A6E3190AB97}"="C:\WINDOWS\system32\qomnnop.dll" [2007-06-25 17:19]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomnnop]
qomnnop.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0 relog_ap


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-26 15:42:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-26 15:43:18
C:\ComboFix-quarantined-files.txt ... 2007-06-26 15:43
C:\ComboFix2.txt ... 2007-06-26 15:08
C:\ComboFix3.txt ... 2007-06-26 14:50

--- E O F ---







Logfile of HijackThis v1.99.1
Scan saved at 15:45:35, on 26.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Norman\Npm\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Norman\Npm\bin\ZLH.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
D:\Virusschutz\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\srmrtafy.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {9DB64C21-2793-48A6-B598-0A6E3190AB97} - C:\WINDOWS\system32\qomnnop.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBB92B08-086C-4578-ACDA-A6CADB1E95D6}: NameServer = 195.186.1.110,195.186.1.111
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: qomnnop - C:\WINDOWS\SYSTEM32\qomnnop.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

jetzt immer noch nicht ok? wo sehe ich das?

Danke
Dieser Beitrag wurde am 26.06.2007 um 15:53 Uhr von wladimir editiert.
Seitenanfang Seitenende
26.06.2007, 15:58
Moderator

Beiträge: 7805
#8 Leider hat das nicht so funktioniert, wie ich es wollte!;) Nehmen wir Avenger dafuer:

Anleitung findest du hier:
http://virus-protect.org/artikel/tools/avenger.html

Du brauchst dieses Script:


Code


Files to delete:
C:\WINDOWS\system32\vohjnvrl.dll
C:\WINDOWS\system32\srmrtafy.dll
C:\WINDOWS\system32\iyxmqduy.exe
C:\WINDOWS\system32\qomnnop.dll
Dann bitte das Avenger Log posten, sowie neues Combofix und hijackthis log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.06.2007, 16:11
...neu hier

Themenstarter

Beiträge: 7
#9 ok hier die Files:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kpaqqnvu

*******************

Script file located at: \??\C:\swidkote.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\vohjnvrl.dll deleted successfully.
File C:\WINDOWS\system32\srmrtafy.dll deleted successfully.
File C:\WINDOWS\system32\iyxmqduy.exe deleted successfully.
File C:\WINDOWS\system32\qomnnop.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




Logfile of HijackThis v1.99.1
Scan saved at 16:08:49, on 26.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Norman\Npm\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Norman\Npm\bin\ZLH.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Virusschutz\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\srmrtafy.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {9DB64C21-2793-48A6-B598-0A6E3190AB97} - C:\WINDOWS\system32\qomnnop.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBB92B08-086C-4578-ACDA-A6CADB1E95D6}: NameServer = 195.186.1.110,195.186.1.111
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: qomnnop - qomnnop.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe





ComboFix 07-06-18.2 - D:\Virusschutz\ComboFix.exe
"Eugster" - 2007-06-26 16:09:26 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 )))))))))))))))))))))))))))))))


2007-06-26 14:43 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-26 07:50 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-06-26 07:50 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-06-26 07:50 38,912 --------- C:\WINDOWS\system32\picn20.dll
2007-06-26 07:50 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-06-26 07:50 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-06-26 07:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-06-26 07:50 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-06-26 07:50 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-06-26 07:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-06-26 07:50 <DIR> d-------- C:\Programme\Ahead
2007-06-19 15:47 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-06-19 15:47 <DIR> d-------- C:\DOKUME~1\Eugster\ANWEND~1\Canon
2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQU112.DLL
2007-06-19 15:46 69,632 --a------ C:\WINDOWS\system32\CNQA2410.dll
2007-06-19 15:46 262,144 --a------ C:\WINDOWS\system32\CNQL2410.dll
2007-06-19 15:46 <DIR> d--h----- C:\CanoScan
2007-06-19 15:27 <DIR> d-------- C:\Programme\Canon
2007-05-31 11:34 <DIR> d-------- C:\Programme\ZiLOG


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-26 05:34:21 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Ahead
2007-06-19 13:46:35 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-31 12:51:22 17,464 ----a-w C:\WINDOWS\system32\drivers\nvcw32mf.sys
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-09 14:29:27 -------- d-----w C:\DOKUME~1\Eugster\ANWEND~1\Help
2007-05-03 07:04:27 -------- d-----r C:\DOKUME~1\Eugster\ANWEND~1\Brother
2007-05-03 05:42:16 -------- d-----w C:\Programme\Gemeinsame Dateien\Brother
2007-05-03 05:42:12 -------- d-----w C:\Programme\Brother
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-03-26 05:26:48 78,368 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-26 05:26:48 443,116 ----a-w C:\WINDOWS\system32\perfh007.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx [2001-04-16 16:39]
{1F6581D5-AA53-4b73-A6F9-41420C6B61F1}=C:\WINDOWS\system32\srmrtafy.dll []
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{9DB64C21-2793-48A6-B598-0A6E3190AB97}=C:\WINDOWS\system32\qomnnop.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-06-30 14:33]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2004-07-07 15:56]
"Norman ZANDA"="C:\Norman\Npm\bin\ZLH.exe" [2007-04-27 13:54]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-09-20 18:22]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-09-20 18:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{9DB64C21-2793-48A6-B598-0A6E3190AB97}"="C:\WINDOWS\system32\qomnnop.dll" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomnnop]
qomnnop.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0 relog_ap


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-26 16:10:28
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-26 16:10:55
C:\ComboFix-quarantined-files.txt ... 2007-06-26 16:10

--- E O F ---

Code

2007-06-25 17:24      266336    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\mllmn.dll.vir
2007-06-25 17:24      6409    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\nmllm.bak1.vir
2007-06-25 17:26      6599    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\nmllm.ini.vir
2007-06-25 17:28      125    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\nmllm.tmp.vir
2007-06-26 14:11      1152557    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\nmllm.bak2.vir
2007-06-26 14:46      1154977    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\nmllm.ini2.vir
2007-06-26 14:53      266336    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\ddayy.dll.vir
2007-06-26 14:53      6369    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\yyadd.bak1.vir
2007-06-26 15:05      102    --a------    C:\Qoobox\Quarantine\catchme.log
2007-06-26 15:05      6764    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\yyadd.ini.vir


Auflistung der Ordnerpfade fr Volume Programme
Volumenummer: A00F-4753
C:\QOOBOX
\---Quarantine
    |   catchme.log
    |  
    +---C
    |   \---WINDOWS
    |       \---system32
    |               ddayy.dll.vir
    |               mllmn.dll.vir
    |               nmllm.bak1.vir
    |               nmllm.bak2.vir
    |               nmllm.ini.vir
    |               nmllm.ini2.vir
    |               nmllm.tmp.vir
    |               yyadd.bak1.vir
    |               yyadd.ini.vir
    |              
    \---Registry_backups
Ist es jetzt ok?
Dieser Beitrag wurde am 26.06.2007 um 16:44 Uhr von wladimir editiert.
Seitenanfang Seitenende
26.06.2007, 16:43
Moderator

Beiträge: 7805
#10 Das sieht besser aus. Schicke bitte die Datei Backup.zip aus dem Ordner c:\avenger an die Emailadresse.

Dan hake bitte in Hijackthis folgendes an und druecke fix checked:
O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\srmrtafy.dll (file missing)
O2 - BHO: (no name) - {9DB64C21-2793-48A6-B598-0A6E3190AB97} - C:\WINDOWS\system32\qomnnop.dll (file missing)
O20 - Winlogon Notify: qomnnop - qomnnop.dll (file missing)

Starte neu und schaue, ob die Eintraege verschwunden sind.

Danachloesche die Ordner qoobox und Avenger mache noch einen Kontrollscan mit

Drwebcureit: http://freedrweb.com/?lng=de

Ewidomicro: http://downloads.ewido.net/ewido_micro.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.06.2007, 16:54
...neu hier

Themenstarter

Beiträge: 7
#11 ok Email verschickt, Einträge sind verschwunden und kann ich jetzt den Ordner Backups in D:\Virusschutz\hijackthis\backups auch löschen? Dieser wurde ja nach dem löschen der 3 Dateien erstellt. (sind auch 3 Dateiuen drin)
Muss ich mit beiden prgz eine Kontrollscan machen? Und wenn beide keine Viren finden, ist wieder ok? Vielen Dank, du hast mir soeben 2 Tage erspart, da ich diverse Programmiertools installiert habe, die sehr aufwändige Konfigurationen haben....
Seitenanfang Seitenende
26.06.2007, 17:01
Moderator

Beiträge: 7805
#12 Du hast doch Acronis TI, welches du doch bestimmt ausgibig nutzt!? Du hast dafuer ja beahlt, also nutz es auch!;)

Die Kontrollscans sind ratsam, diese Scanner brauchen nicht installiert werden und hinterlassen so gut ie keine Reste auf dem Rechner.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.06.2007, 17:06
...neu hier

Themenstarter

Beiträge: 7
#13 Ja aber ich installierte Acronis erst vor kurzem, da der Rechner in meinem Geschäft infiziert wurde.... Und da Acronis "mir" gehört und nicht dem Geschäft, die haben nämlich nichts ähnliches... :-)
Auf jeden Fall herzlichen Dank, kann man irgendwo was spenden?
Seitenanfang Seitenende
26.06.2007, 17:29
Moderator

Beiträge: 7805
#14 Danke fuer die Aufklaerung. Bzgl. Spenden schaue unten auf die Seite:
http://board.protecus.de/media.php
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »