Hallo@all
Ich bzw meine Freundin bekommt immer diesen TR/Vundo.Gen (pmnkjih.dll) Virus von antivir angezeigt, ich habe jetzt schon länger probiert das Teil wegzubekommen (habe auch vor meiner reg hier schon öfters gelesen) aber ich bekomme es einfach net hin -.- überall steht HijackThis benutzen dann dies und das machen...habe cleanup,avenger, abgesicherten mouds... ausprobiert.. aber ohne erfolg

HIer der HijackThis report..hoffe könnt mir helfen

Running processes:
C:\WINDOWS.000\System32\smss.exe
C:\WINDOWS.000\system32\winlogon.exe
C:\WINDOWS.000\system32\services.exe
C:\WINDOWS.000\system32\lsass.exe
C:\WINDOWS.000\system32\svchost.exe
C:\WINDOWS.000\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS.000\Explorer.EXE
C:\WINDOWS.000\system32\spoolsv.exe
C:\WINDOWS.000\System32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\XXX\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WEB.DE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\System32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS.000\System32\spooIsv.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.000\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.000\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{92246CF1-3396-4253-BB62-6308097E54DD}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing)
O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINDOWS.000\wdfmgr.exe (file missing)

Hallo SubZero,

dein Logfile ist nicht vollständig, der gesamte Kopf des Log fehlt, dort sind die Angaben zu Betriebssystem sowie Patchstand enthalten, dieses ist für die Auswetung sehr wichtig.

Abgesehen davon ist mit großer Wahrscheinlichkeit ein BackdoorTrojaner im System.
Lass daher folgende Datei bei Virustotal überprüfen:

Zitat:

C:\WINDOWS\update\updmgr.exe

Poste im Anschluss das Ergebnis, markieren, kopieren und hier einfügen. Achte darauf das auch die Größe und der HASH mit erscheint.

Der Schädling hat mit großer Sicherheit schon einiges angestellt, in deinem Fall so wie es aussieht vorsorglich die Registrierung deaktiviert:

Zitat:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Lies dir schonmal den Link in meiner Signatur durch: " Neuaufsetzen des Systems"

Gruß
Sunny

Logfile of HijackThis v1.99.1
Scan saved at 22:05:15, on 14.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


omplete scanning result of "updmgr.exe", received in VirusTotal at 10.14.2006, 23:27:59 (CET).
Antivirus Version Update Result
AntiVir n - no virus found
Authentium n - no virus found
Avast n - no virus found
AVG n - no virus found
BitDefender n - no virus found
CAT-QuickHeal n - no virus found
ClamAV n - no virus found
DrWeb n - no virus found
eTrust-InoculateIT n - no virus found
eTrust-Vet n - no virus found
Ewido n - no virus found
Fortinet n - no virus found
F-Prot n - no virus found
F-Prot4 n - no virus found
Ikarus n - no virus found
Kaspersky n - no virus found
McAfee n - no virus found
Microsoft n - no virus found
NOD32v2 n - no virus found
Norman n - no virus found
Panda n - no virus found
Sophos n - no virus found
TheHacker n - no virus found
UNA n - no virus found
VBA32 n - no virus found
VirusBuster n - no virus found
Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Versuch es nochmal anders, da die Datei sich zu schützen weiß, kann kein Virenscanner sie identifizieren.

Suche die Datei C:\WINDOWS\update\updmgr.exe, kopiere sie auf C:\ und benenne sie um in virus.exe, lass dann diese nochmals von Virustotal überprüfen. (und natürlich wieder das Ergebnis posten )

Gruß
Sunny

komisch... die datei gibbet hier net -.- habe sie net in windoof ordner gefunden und auch sonst nirgends

Zitat:

Zitat von SubZero

komisch... die datei gibbet hier net -.- habe sie net in windoof ordner gefunden und auch sonst nirgends

Hast du die Systemdateien sichtbar gemacht? -> so wirds gemacht

ja habe ich! Die Datei ist net mehr da ka wieso

*push* kann noch wer helfen? [Gc]Sunny

Hallo,
ich weis zumindest warum er den Kopf des Hijackfiles uns vorenthalten hat....
Auch deuten diese Systemdateien darauf hin,das "Subzero" entweder eine illegale Kopie von Windows nutzt,oder versucht hat drüberzuinstallieren.

Zitat:

C:\WINDOWS.000\System32\smss.exe
C:\WINDOWS.000\system32\winlogon.exe
C:\WINDOWS.000\system32\services.exe
C:\WINDOWS.000\system32\lsass.exe
C:\WINDOWS.000\system32\svchost.exe
C:\WINDOWS.000\System32\svchost.exe

Dieses, plus der Patchstand des Systems

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

schreit nach einer Neuinstallation.....
Irrlicht

also die version ist Original....
Habe den Pc zu einen Kollegen gebracht, weil ich keine zeit hatte Xp neu zu installieren...und er hat anscheinend die alte windows installation net formatiert..

Wenn da nix mehr machbar ist werde ich Xp einmal neuinstallieren

mOIn auch

ich denke der hier wurde übersehen

C:\WINDOWS.000\System32\spooIsv.exe

der fettgeschriebene ist ein großgeschriebenes i und kein L wie die Systemdatei.
Lasse die Datei hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei,
auch wenn nichts gefunden wurde.

MFG

einmal von VirusTotal: datei ist 56,0 KB (57.344 Bytes) gross
Your file "spoolsv.exe" is queued in position: 2. Estimated start time is between 70 and 100 seconds.

jotti ist momentan überlastet.... editiere mein beitrag gleich noch wenns geht

Jotti:

Datei: spoolsv.exe
Auslastung:
0% 100%
Status:
OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

Zitat:

Zitat von SubZero

einmal von VirusTotal:
Your file "spoolsv.exe" is queued in position: 2. Estimated start time is between 70 and 100 seconds.

jotti ist momentan überlastet.... editiere mein beitrag gleich noch wenns geht

Dann versuch es mal bei Virustotal, vielleicht geht es da schneller...
Ansonsten heisst die Devise: WARTEN &

mOIn nochmal

mOIn Daniel

@SubZero ich denke, du hast die falsche Datei am Wickel , achte bitte genau auf die Schreibweise oder klicke die Datei mal mit der rechten Maustaste an und lasse dir die Eigenschaften anzeigen.

MFG

habe den pfad den du geschrieben hast kopiert "C:\WINDOWS.000\System32\spooIsv.exe" und die datei gibbet nur 1x in system32 ordner... es gibt aber noch nen ordner "C:\WINDOWS.000\spool\PRINTERS" aber der ist leer

bei eigenschaften von der datei steht:

Dateityp: Anwendung
Beschreibung: Spooler SubSystem App
Ort: C:\WINDOWS.000\SYSTEM32

edit:
habe nochmal geguckt und das gefunden

Prozessname :
spoolsv / spoolsv.exe
Firma :
Microsoft Corporation
Gehört zu :
Microsoft Windows
Virus / Spyware :
NEIN
Beschreibung :


Die spoolsv / spoolsv.exe (Spooler SubSystem App) gehört zu Windows. Sie sorgt dafür das Druckaufträge nacheinander an den Drucker gesendet werden, und neue Druckaufträge ordnungsgemäss in dir Druckerwarteschlange eingereiht werden.