Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virus???

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.05.2008, 10:04   #1
Jimmy .N
 
Virus??? - Standard

Virus???



Guten Morgen Trojaner-Board Usern,
ich befürchte,dass ich von einen Virus(glaube ich) befallen würde.
Ich hab in Windows Task Manager diesen Prozess "pmropn.exe" endeckt,ich versuchte ihn zu beenden aber der kommt immer wieder zurück.
Ich hoffe ihr könnt mir weiter helfen diesen Virus(oder was es auch immer sei) zu vernichten

PHP-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11
:02:02on 16.05.2008
Platform
Windows XP SP2 (WinNT 5.01.2600)
MSIEInternet Explorer v6.00 SP2 (6.00.2900.2180)
Boot modeNormal

Running processes
:
C:\WINDOWS\System32\smss.exe
C
:\WINDOWS\system32\winlogon.exe
C
:\WINDOWS\system32\services.exe
C
:\WINDOWS\system32\lsass.exe
C
:\WINDOWS\system32\svchost.exe
C
:\WINDOWS\System32\svchost.exe
C
:\WINDOWS\system32\spoolsv.exe
C
:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C
:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C
:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C
:\Programme\Bonjour\mDNSResponder.exe
C
:\WINDOWS\system32\nvsvc32.exe
C
:\Programme\OneStepSearch\onestep.exe
C
:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C
:\WINDOWS\system32\WgaTray.exe
C
:\WINDOWS\Explorer.EXE
C
:\Programme\OneStepSearch\onestep.exe
C
:\WINDOWS\system32\wuauclt.exe
C
:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C
:\Programme\Analog Devices\SoundMAX\SMTray.exe
C
:\WINDOWS\system32\RUNDLL32.EXE
C
:\Programme\TechSmith\SnagIt 8\TSCHelp.exe
C
:\Programme\TechSmith\SnagIt 8\SnagPriv.exe
C
:\Programme\Windows Live\Messenger\usnsvc.exe
C
:\Programme\CryptLoad_1.0.7\CryptLoad.exe
C
:\Programme\Mozilla Firefox\firefox.exe
C
:\WINDOWS\system32\taskmgr.exe
c
:\windows\system32\pmropn.exe
C
:\Programme\Windows Live\Messenger\msnmsgr.exe
C
:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.docs.yahoo.com/info/ie6.html
R1 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page http://deutsch.eazel.com/index.php?rvs=hompag
R1 HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R1 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 
URLSearchHookYahooToolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 
BHOSnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 
BHOYahooToolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 
BHOAdobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 
BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 ToolbarVeoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 
ToolbarYahooToolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 
ToolbarSnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 
HKLM\..\Run: [QuickTime Task"C:\Programme\QuickTime\qttask.exe" -atboottime
O4 
HKLM\..\Run: [Adobe Reader Speed Launcher"C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 HKLM\..\Run: [avgnt"C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 
HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 
HKLM\..\Run: [SmappC:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 
HKLM\..\Run: [Logitech Hardware Abstraction LayerKHALMNPR.EXE
O4 
HKLM\..\Run: [NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 
HKLM\..\Run: [nwiznwiz.exe /install
O4 
HKLM\..\Run: [NvMediaCenterRUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 
HKLM\..\Run: [PremierOpinionc:\windows\system32\pmropn.exe -boot
O4 
HKCU\..\Run: [MsnMsgr"C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 
HKUS\S-1-5-19\..\Run: [CTFMON.EXEC:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 StartupAdobe Gamma.lnk C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 
- Global StartupLogitech SetPoint.lnk = ?
O4 - Global StartupSnagIt 8.lnk C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
O9 
Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 
Extra 'Tools' menuitemSun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 
Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 
Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 
Extra buttonMessenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 
Extra 'Tools' menuitemWindows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 
Unknown file in Winsock LSPc:\windows\system32\nwprovau.dll
O16 
DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184867544031
O16 DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 AppInit_DLLsC:\WINDOWS\system32\rlai.dll
O20 
Winlogon NotifyPremierOpinion C:\WINDOWS\system32\rlls.dll
O20 
Winlogon NotifyRelevantKnowledge C:\WINDOWS\system32\rlls.dll
O23 
ServiceAdobe LM Service Adobe Systems C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 
ServiceAntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 
ServiceAntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 
ServiceApple Mobile Device AppleInc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 
Service##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 ServiceFLEXnet Licensing Service Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 
ServiceGoogle Updater Service (gusvc) - Google C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 
ServiceNVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation C:\WINDOWS\system32\nvsvc32.exe
O23 
ServiceOneStep Search Service OneStepSearch.netInc. - C:\Programme\OneStepSearch\onestep.exe
O23 
ServiceSiSoftware Database Agent Service (SandraDataSrv) - Unknown owner C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe (file missing)
O23 ServiceSiSoftware Sandra Agent Service (SandraTheSrv) - Unknown owner C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe (file missing)
O23 ServiceSoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog DevicesInc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 
ServiceWindows Live Setup Service (WLSetupSvc) - Unknown owner C:\Programme\Windows Live\installer\WLSetupSvc.exe (file missing)

--
End of file 7952 bytes 

Alt 16.05.2008, 17:34   #2
undoreal
/// AVZ-Toolkit Guru
 
Virus??? - Standard

Virus???



Warum fehlen in deinem Log die Backslash zwischen den Dateipfaden??

Poste bitte ein vernünftiges Log.

Da der Pfad der c:windowssystem32pmropn.exe im Gegensatz zu den Anderen klein geschrieben ist bin ich mir mit dem Pfad nicht sicher...

Suche daher wie in meiner Sigantur beschrieben nach der Datei pmropn.exe und lade sie bei VT hoch.


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
... pmropn.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________

__________________

Alt 16.05.2008, 19:47   #3
Jimmy .N
 
Virus??? - Standard

Virus???



danke für deine hilfe (hätte es nicht gebraucht).Hab einfach diesen Antivirus Programm "Kaspersky" runter geladen und mein Pc gescannt.Hab alle Viren(oder was es auch immer sei) beseitigt.
__________________

Alt 16.05.2008, 19:57   #4
Sunny
Administrator
> Competence Manager
 

Virus??? - Standard

Virus???



Bei der Datei -> pmropn.exe handelt es sich um einen Backdoor-Server, sicherlich hat Kaspersky eine gute Engine, aber ein Hijacklog zu erstellen würde nicht mal eine Minute dauern um zu schauen ob die Datei immer noch aktiv ist..
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu Virus???
adobe, antivir, appinit_dlls, avira, bho, bonjour, browser, computer, ctfmon.exe, explorer, firefox, google, helfen, helper, heulen, hijack, hijackthis, immer wieder, internet, internet explorer, kommt immer wieder, logfile, mozilla, mozilla firefox, nvidia, plug-in, pop-up-blocker, prozess, rundll, software, system, trojaner-board, unknown file in winsock lsp, urlsearchhook, virus, windows, windows xp





Zum Thema Virus??? - Guten Morgen Trojaner-Board Usern, ich befürchte,dass ich von einen Virus(glaube ich) befallen würde. Ich hab in Windows Task Manager diesen Prozess " pmropn.exe " endeckt,ich versuchte ihn zu beenden aber - Virus???...
Archiv
Du betrachtest: Virus??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.