joerg112

Hallo
habe 2 neue Prozesse die mein Security Task Manager als "potenziell Gefährlich" einstuft. Der eine nennt sich sich "pmnli.dll" der andere "rqrqpnl.dll". Kann die Prozesse leider mit dem STM nicht entfernen. Kennt vielleicht jemand diese Prozesse und weiß wie man sie löscht ???


Danke


P.S. sie sind in "C:\Windows\System32\

Leonixx

Aloha,

lasse diese beiden Dateien bei Virustotal oder Jotti (in meiner Signatur)auswerten und poste den Report.

Gruss Leonixx

joerg112

Hallo
Sorry das ich erst jetzt poste. Hier der Report vom "rqrqpnl.dll" Datei: rqrqpnl.dll
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-
Bit9 rapportiert: File not found

A-Squared
Keine Viren gefunden
AntiVir
TR/Agent.uaa gefunden
ArcaVir
Adware.Virtumonde.Bja gefunden
Avast
Keine Viren gefunden
AVG Antivirus
BHO.CTS gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
CPsecure
Keine Viren gefunden
Dr.Web
Trojan.Virtumod.246 gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
not-a-virus:AdWare.Win32.Virtumonde.bja (4, 1, 400) gefunden
Fortinet
Keine Viren gefunden
Ikarus
not-a-virus:AdWare.Win32.Virtumonde.bja gefunden
Kaspersky Anti-Virus
not-a-virus:AdWare.Win32.Virtumonde.bja gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
W32/Virtumonde.IZW gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
Sophos Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

bei dem anderen Prozess hatte ich weder mit Virustotal noch mit Jotti Erfolg. Hier die Meldung:0 bytes size received / Se ha recibido un archivo vacio

ReinMan

Poste mal ein Hijackthislogfile ins Forum damit wir genaueres wissen vielleicht ist ja noch mehr infiziert. Do a system scan and save a Logfile das LF postest du hier rein.

http://www.chip.de/downloads/c1_downloads_13011934.html

joerg112

Hallo hier das Logfile:Logfile of HijackThis v1.99.1
Scan saved at 15:29:25, on 07.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Sicherheit\Ad-Aware 7.0\aawservice.exe
C:\Programme\Internet Sicherheit\Avast\aswUpdSv.exe
C:\Programme\Internet Sicherheit\Avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\Internet Sicherheit\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\Betriebssyst.software\Private Folder1.0\PrfldSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\INTERN~2\Avast\ashDisp.exe
C:\Programme\Betriebssyst.software\Unlocker\Unlock erAssistant.exe
C:\Programme\Netzwerk\UltraVNC\WinVNC.exe
C:\Programme\Betriebssyst.software\Security Task Manager\SpyProtector.exe
C:\Programme\Betriebssyst.software\DeamonTools\DAE MON Tools\daemon.exe
C:\Programme\Nokia Suite\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Sicherheit\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Online-Dienste\PopTray.exe
C:\Programme\Betriebssyst.software\SpeedFan\speedf an.exe
C:\Programme\Internet Sicherheit\Avast\ashMaiSv.exe
C:\Programme\Internet Sicherheit\Avast\ashWebSv.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\msiexec.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Packer\WinRAR\WinRAR.exe
C:\DOKUME~1\papa\LOKALE~1\Temp\Rar$EX02.047\Hijack This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\INTERN~2\Avast\ashDisp.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Betriebssyst.software\Unlocker\Unloc kerAssistant.exe" -H
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\Netzwerk\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Spy Protector] C:\Programme\Betriebssyst.software\Security Task Manager\SpyProtector.exe /autostart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\Betriebssyst.software\DeamonTools\DA EMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia Suite\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Internet Sicherheit\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Geburtstag.lnk = C:\Programme\sonst\gluma.de\Geburtstag\Geburtstag. exe
O4 - Startup: PopTray.lnk = C:\Programme\Online-Dienste\PopTray.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\Betriebssyst.software\SpeedFan\speedf an.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\NetMeeting\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\INTERN~2\SPYBOT~1\SPYBOT~1\SDHelper.dl l
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\INTERN~2\SPYBOT~1\SPYBOT~1\SDHelper.dl l
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1194893375375
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://webcam5.hrz.tu-darmstadt.de/activex/AMC.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://akizuno.dyndns.org/activex/AxisCamControl.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://cafecam.heerenvanbeijerland.nl/activex/AMC.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\Internet Sicherheit\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Internet Sicherheit\Ad-Aware 7.0\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Internet Sicherheit\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Internet Sicherheit\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Internet Sicherheit\Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Internet Sicherheit\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\oiobikkd.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Betriebssyst.software\Private Folder1.0\PrfldSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\Netzwerk\UltraVNC\WinVNC.exe" -service (file missing)

ReinMan

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

Das markierst du und gehst auf "Fixx check". Ansonsten ist dein Logfile sauber.

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\oiobikkd.exe (file missing)

Das ist ein unbekannter Dienst ? weißt du um was es sich hierbei handelt ?

Hast du schon mit Spybot und Adaware nach der Ursache gesucht ? wenn nein mach das mal und guck ob sie was finden.

http://www.chip.de/downloads/c1_downloads_13001443.html

http://www.chip.de/downloads/c1_downloads_13000824.html

joerg112

Hallo
danke erstmal. Was ist Fixx check ?? und den Dienst kenn ich nicht....

teodor

Das ist eine Option bei Hijackthis...

mfsto

*Starte Hijackthis
*Starte ein Durchlauf
*Danach erscheint das Logfile +Fenster mit mehreren Einträgen(O2 usw.)
*Haken bei den entsprechenden Einträgen
*Klicke auf "Fix Checked"

Update dein Java außerdem ->www.java.com

Mfg

Lurch

http://www.hijackthis.de/de