Hallölle!

Ich komm aufen Punkt:
War ne ganze Zeit ungeschützt da ich eigentlich nur vorhatte Windows zum Zocken zu nutzen und mein Linux weiter - aber immer mehr Sachen wie Photoshop die auf Linux nicht gehen habe ich dann auf Win angewandt und so nahmen die Dinge ihren lauf!

Vor 2 Tagen habe ich dann NOD32 endlich wieder installiert und geupdatet!
Sofort meinte er "pmnmnnn.dll" ist ein Virus! Allerdings läßt er sich nicht löschen! Egal ob ich auswähle säubern, löschen, krantäne etc.! Auch die Option dass er es beim booten löscht hilft nicht!

In Google sagte er nichts, scheint sehr neu zu sein - oder irgendson billig Ding was nur vollborstis haben

Was er macht keine Ahnung!

Aber andauernd geht IE7 auf mit irgendner Werbung, nutzen tu ich aber Opera = ergo er macht wohl da was!
Hoffe mal er loggt nicht meine Passwörter oder so!

Genauso - wenn ich in ICQ dass "€" Zeichen mache - löscht er meinen eingegeben Text und der vorherig abgesandete steht da (vll. ein Keylogger?)

Da ich nicht so die Ahnung von Viren haben, frag ich euch mal

Achja - wenn ich dat Ding per Hand lösche, meint er ein Programm greift drauf zu = ergo geht nicht!

Sachen wie Spyware S&D habe ich momentan nich drauf - auch kein HiJack

Lg,
und bitte helft mir Danke im vorraus!

ACHJA, EDIT: Wenn ich mal ne Intensivprüfung mit NOD auf meinem OS mache, schreit er gleich zu anfang diese Datei is im Arbeitsspeicher mit der Anwendung "Adware Demand" oder so oO?

Halli hallo.

Du hast dir Vundo eingefangen.

Poste bitte als erstes ein HijackThis log damit wir sehen können ob da noch was nachgeladen wurde..

Moin! Gut dass du schonmal weißt was es ist!
Ist der "hart" oder nur son Borsti Hinterweltler ding was schnell weg geht?

Achja! Anmekrung:
Bei meinem NOD Scan hat er mir nen Link zu meinem Opera Chache gesagt - wo daten drauf sind! Dadurch hab ich den Virus bestimmt - kam mir gleich so koscha vor!

Habe die gelöscht (Papierkorb). Hoffe das ist nit schlimm

1234567890 Zeichen

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:49, on 10.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Eset\nod32krn.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\SOUNDMAN.EXE
C:\Programme\Eset\nod32kui.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\BOINC\boincmgr.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\BOINC\boinc.exe
C:\Programme\BOINC\projects\boinc.bakerlab.org_rosetta\rosetta_beta_5.93_windows_intelx86.exe
C:\WINXP\explorer.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINXP\system32\PnkBstrB.exe
C:\WINXP\system32\rundll32.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [UpdReg] C:\WINXP\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [447a3bd4] rundll32.exe "C:\WINXP\system32\iwgfssih.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: BOINC Manager.lnk = C:\Programme\BOINC\boincmgr.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196117933921
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINXP\system32\PnkBstrB.exe

--
End of file - 5286 bytes

Zitat:

Ist der "hart" oder nur son Borsti Hinterweltler ding was schnell weg geht?

das kommt auf die Variante drauf an..

Allerdings sehe ich HJT log jetzt keine Vundo typischen Einträge..

Du hast nLite installiert oder?

Wir lassen jetzt mal einfach eine Vundo Bereinigung auf gut Glück laufen..

Folge dieser Anleitung. Schritte 1 und 2 durchführen. (1.Suche - 2.Bereinigung)

Danach führe dises Tool im abgesicherten Modus aus.


Danach mach mal bitte einen Vollscan mit NOD im abgesicherten Modus. Poste das log anschließen hier.

Ja meine Windows Extension CD habe ich mit nLite erstellt - allerdings ist es nicht installiert!

VundoFix V6.7.8 hat Sachen gefunden:
ekcshvxr.dll
ekhvlpdr.dll
iwgfssih.dll
pafcpqgw.dll
qxfhmfgx.dll
tfvnjsue.dll
tmmpwvhw.dll
vlyntmef.dll
vturr.dll

Aber er hat nicht die pmnmnnn.dll erkannt! Oh Oh

Was nun?


ACHJA: noch ne andre Frage! Seit neustem fehlt meine _ISource22.dll! Kann jemand mir die senden! Die brauch ich für Photoshop

Also!

Habe das wie eben gesagt gecleant!
Neu Start - F8 - Sicherer Modus - Das andere Prog gestartet! Das meinte es würde neustarten blabla!
Er startet neu - und meldet sich im Normal Modus ein! Dann kam die Fehlermeldung "RUNDLL"
"BLABLA.DLL ist nicht da"

Mhhh....

Zitat:

pmnmnnn.dll

die existiert wahrscheinlich garnicht mehr.. der gute Vundo gibt sich nie lange die Blöße..

Dann war mein Verdacht ja ganz richtig..

Zitat:

Was nun?

Zitat:

Danach mach mal bitte einen Vollscan mit NOD im abgesicherten Modus. Poste das log anschließen hier.

Die PMNMNNN.DLL sheint weg zu sein - per Hand find ich sie nicht und mein NOD32 meckert auch nicht mehr!

Eine Frage noch:

Wie konnte mein NOD die anderen bösen DLL´s nicht finden?
Und - bin ich jetzt absolut sauber?
Und - was ist mit der der Fehlermeldung? Ignor?

Zitat:

Und - was ist mit der der Fehlermeldung? Ignor?

aus deinen Gebrabbel bin ich nicht schlau geworden.. ^^ um welche Fehlermeldung geht es?

Zitat:

Wie konnte mein NOD die anderen bösen DLL´s nicht finden?

die Erkennungsrate von VirenScanner ist SEHR bescheiden! Auch wenn NOD schon zu den wirklich guten gehört..

Zitat:

Und - bin ich jetzt absolut sauber?

wäscht du dich denn fleißig??
nein, Scherz beiseite. Mach doch noch einen eScan. Anleitung gibts in meiner Signatur.

Wenn du keine Probleme mehr hast sollte dein Rechner sauber sein!

Hallölle,

habe seit gestern Abend den aller stärksten Modus von NOD hochgejagt :P und bis heute morgen um 7 den Virenscanner laufen lassen - ja wirklich so lange! Danach bin ich zur Schule - kam zurück und buff mein PC ist aus! Ich hoffe meine Mutter hat den erst nach dem Scan runtergefahren! Den nochmal 12 Std. steh ich nicht aus -.-

Ansonsten - ja da kommt ne meldung iwkshj oder so ist nicht da!

Den eScan mach ich mal gleich!

Aber was anderes erschreckendes ist passiert :P
NOD hat beim Scann (im Safe Modus) diesen Vundo Entferner als PCRView Virus enttarnt oder so!
Schätze der kommt nicht klar auf die Datei - aber wollte es sagen!

Lg und danke euch!

Zitat:

Vundo Entferner als PCRView Virus enttarnt

ganz normal. Kannst du als Ausnahme hinzufügen..