Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: qomkhee.dll Entfernen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.11.2007, 21:41   #1
Brast
 
qomkhee.dll Entfernen - Standard

qomkhee.dll Entfernen



qomkhee.dll wird mir von Anti Vir Als folgenden Trojaner gemeldet:

-TR/Dldr.Agent.fiv

Wie kann ich diesen entfernen.

Ferner Poste ich mal mein HijackThis Protokoll. Was kann ich da noch verbessern?



Logfile of HijackThis v1.99.1
Scan saved at 21:26:58, on 28.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\Ad-Aware 2007\AAWTray.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Games\Need for Speed ProStreet\PB\PnkBstrA.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\STacSV.exe
C:\Dokumente und Einstellungen\Ich\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [AAWTray] E:\Programme\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - E:\Games\Need for Speed ProStreet\PB\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Programme\SigmaTel\C-Major Audio\WDM\STacSV.exe




Danke schonmal für eure hilfe!

MFG Sven

Alt 30.11.2007, 13:31   #2
nochdigger
 
qomkhee.dll Entfernen - Standard

qomkhee.dll Entfernen



Hallo

in deinem HijackThis Log ist nicht sehr viel ersichtlich, benenne daher bitte die Hijackthis.exe um in z.B. ABC.exe und erstelle ein neues Log.

Dann bitte Combofix sowie die Filelist laufen lassen

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

Hm Doppelpost?
__________________


Alt 01.12.2007, 16:01   #3
Brast
 
qomkhee.dll Entfernen - Standard

qomkhee.dll Entfernen



Neues Hijack Protokoll:


Logfile of HijackThis v1.99.1
Scan saved at 15:50, on 2007-12-01
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\STacSV.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\Ich\Desktop\ACB.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: (no name) - {1A5F3580-82CA-47BA-BE7C-05A63C49B4C9} - C:\WINDOWS\system32\jkhhf.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: {01e120c4-a6de-b209-e2d4-b580a5d44c38} - {83c44d5a-085b-4d2e-902b-ed6a4c021e10} - C:\WINDOWS\system32\kivsbqno.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {CDEFFD4C-B15D-4C79-8500-0ED4CF6AC68B} - C:\WINDOWS\system32\qomkhee.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: qomkhee - C:\WINDOWS\SYSTEM32\qomkhee.dll
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Programme\SigmaTel\C-Major Audio\WDM\STacSV.exe




Combo Fix:



ComboFix 07-11-19.4C - Ich 2007-12-01 15:48:43.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1534 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ich\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\fhhkj.bak1
C:\WINDOWS\system32\fhhkj.bak2
C:\WINDOWS\system32\fhhkj.ini
C:\WINDOWS\system32\jkhhf.dll
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-01 bis 2007-12-01 ))))))))))))))))))))))))))))))
.

2007-12-01 01:17 78,912 --a------ C:\WINDOWS\system32\kivsbqno.dll
2007-11-30 14:03 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-11-28 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback
2007-11-27 20:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2007-11-27 20:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-11-27 20:37 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-11-27 20:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-11-27 20:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-11-27 20:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-11-27 20:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-11-27 20:37 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-11-24 14:37 39,424 --------- C:\WINDOWS\system32\qomkhee.dll
2007-11-22 16:46 <DIR> d-------- C:\Programme\CoodrarCorp
2007-11-22 16:46 140,288 --a------ C:\WINDOWS\system32\COMDLG32.OCX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-30 11:39 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-11-30 11:39 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-11-30 11:39 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-11-29 15:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-24 23:44 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-24 15:04 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\teamspeak2
2007-11-14 16:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2007-11-07 18:40 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\.ABC
2007-11-06 14:31 --------- d-----w C:\Programme\ICQ6
2007-10-29 11:42 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\vlc
2007-10-28 15:27 --------- d-----w C:\Programme\Java
2007-10-28 12:08 --------- d-----w C:\Programme\Electronic Arts
2007-10-27 15:22 --------- d-----w C:\Programme\Cyberlink
2007-10-27 15:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2007-10-27 14:57 --------- d-----w C:\Programme\coolbuddy screensavers Jessica Simpson
2007-10-27 00:26 --------- d-----w C:\Programme\AviSynth 2.5
2007-10-24 16:39 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\RouterControl
2007-10-14 15:18 --------- d-----w C:\Programme\Bonjour
2007-10-03 09:20 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Bioshock
2007-10-03 08:50 --------- d-----w C:\Programme\Windows Media Connect 2
2007-10-02 15:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2007-10-02 14:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2007-10-02 14:57 34,308 ----a-w C:\WINDOWS\system32\Chip.dll
2007-10-02 13:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2007-10-02 13:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Control Panels
2007-10-02 13:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ALM
2007-10-02 13:05 --------- d-----w C:\Programme\QuickTime
2007-10-02 12:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-10-02 12:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2007-09-18 13:36 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-09-17 18:23 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-09-17 18:23 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-09-17 18:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-09-17 18:22 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
2007-09-16 15:03 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2007-09-16 15:03 262,144 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2007-09-15 22:48 2,278,400 ----a-w C:\WINDOWS\system32\TUKernel.exe
2007-09-11 23:14 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2004-10-01 13:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83c44d5a-085b-4d2e-902b-ed6a4c021e10}]
2007-12-01 01:17 78912 --a------ C:\WINDOWS\system32\kivsbqno.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CDEFFD4C-B15D-4C79-8500-0ED4CF6AC68B}]
2007-11-24 14:37 39424 --------- C:\WINDOWS\system32\qomkhee.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57]

[hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{CDEFFD4C-B15D-4C79-8500-0ED4CF6AC68B}"= C:\WINDOWS\system32\qomkhee.dll [2007-11-24 14:37 39424]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomkhee]
qomkhee.dll 2007-11-24 14:37 39424 C:\WINDOWS\system32\qomkhee.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\jkhhf.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};\??\E:\Programme\CyberLink\PowerDVD\000.fcl
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{74e8f491-6444-11dc-a6c7-0019d19e84e4}]
\Shell\AutoRun\command - G:\autorun.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-11-29 16:16:10 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- E:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-01 15:53:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-01 15:54:20 - machine was rebooted
.
--- E O F ---



FileList:


----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6839-3E34

Verzeichnis von C:\

01.12.2007 15:54 7.907 ComboFix.txt
01.12.2007 15:52 2.145.386.496 pagefile.sys
15.09.2007 23:48 389 boot.ini
14.09.2007 17:51 172 SigmaTel.log
14.09.2007 17:40 0 CONFIG.SYS
14.09.2007 17:40 0 IO.SYS
14.09.2007 17:40 0 MSDOS.SYS
14.09.2007 17:40 0 AUTOEXEC.BAT
03.08.2004 21:59 251.184 ntldr
03.08.2004 21:38 47.564 NTDETECT.COM
18.08.2001 13:00 4.952 bootfont.bin
11 Datei(en) 2.145.698.664 Bytes
0 Verzeichnis(se), 30.612.770.816 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6839-3E34

Verzeichnis von C:\WINDOWS\system32


01.12.2007 01:17 78.912 kivsbqno.dll
30.11.2007 12:39 66.872 PnkBstrA.exe
30.11.2007 12:39 107.832 PnkBstrB.exe
25.11.2007 18:30 2.206 wpa.dbl
24.11.2007 14:37 39.424 qomkhee.dll
23.11.2007 20:14 40.972 perfc009.dat
23.11.2007 20:14 320.434 perfh007.dat
23.11.2007 20:14 49.364 perfc007.dat
23.11.2007 20:14 314.644 perfh009.dat
23.11.2007 20:14 730.822 PerfStringBackup.INI
02.11.2007 00:12 18.238.072 MRT.exe
30.10.2007 16:21 1.565.072 FNTCACHE.DAT

Verzeichnis von C:\WINDOWS

01.12.2007 15:54 2.069.091 WindowsUpdate.log
01.12.2007 15:53 0 0.log
01.12.2007 15:52 2.048 bootstat.dat
01.12.2007 15:51 32.588 SchedLgU.Txt
30.11.2007 14:55 50 Lic.xxx
30.11.2007 14:54 587.108 ntbtlog.txt
25.11.2007 01:41 216 wiadebug.log
25.11.2007 00:44 296 game.ini
24.11.2007 17:11 50 wiaservc.log
24.11.2007 14:24 396.912 DirectX.log
24.11.2007 14:24 266.474 setupapi.log
23.11.2007 22:54 116 NeroDigital.ini
23.11.2007 20:14 6.842 tabletoc.log
23.11.2007 20:14 72.700 tsoc.log
23.11.2007 20:14 4.625 imsins.log
23.11.2007 20:14 32.518 ntdtcsetup.log
23.11.2007 20:14 221.509 iis6.log
23.11.2007 20:14 49.836 comsetup.log
23.11.2007 20:14 7.934 msgsocm.log
23.11.2007 20:14 8.610 ocmsn.log
23.11.2007 20:14 98.946 ocgen.log
23.11.2007 20:14 10.914 MedCtrOC.log
23.11.2007 20:14 145.690 FaxSetup.log
23.11.2007 20:14 25.982 netfxocm.log
23.11.2007 20:14 56.942 msmqinst.log
23.11.2007 20:13 4.625 imsins.BAK
21.11.2007 19:08 36.143 wmsetup.log
14.11.2007 17:14 10.072 KB943460.log
14.11.2007 17:13 37.341 updspapi.log
08.11.2007 16:59 136.704 catchme.exe
18.10.2007 21:29 16.130 KB938127-IE7.log


----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6839-3E34

Verzeichnis von C:\WINDOWS\tasks

01.12.2007 15:52 6 SA.DAT
29.11.2007 17:16 392 1-Klick-Wartung.job
18.08.2001 13:00 65 desktop.ini
3 Datei(en) 463 Bytes
0 Verzeichnis(se), 30.612.652.032 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6839-3E34

Verzeichnis von C:\WINDOWS\temp


----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6839-3E34

Verzeichnis von C:\DOKUME~1\Ich\LOKALE~1\Temp

01.12.2007 15:56 120.269 filelist.txt
1 Datei(en) 120.269 Bytes
0 Verzeichnis(se), 30.612.652.032 Bytes frei
__________________

Alt 01.12.2007, 16:38   #4
nochdigger
 
qomkhee.dll Entfernen - Standard

qomkhee.dll Entfernen



Hallo

Ist ja doch noch was versteckt am laufen ,
lass bitte diese Dateien :
Code:
ATTFilter
C:\WINDOWS\system32\kivsbqno.dll
C:\WINDOWS\system32\qomkhee.dll
         
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.
Danach können wir wahrscheinlich mit der Bereinigung beginnen.

MFG

Alt 01.12.2007, 17:38   #5
Brast
 
qomkhee.dll Entfernen - Standard

qomkhee.dll Entfernen



ZUR qomkhee.dll

MD5: 77f34cd6325870d394814bdbdde1c002
Date: 2007.11.29 15:55:09 (CET) [>2D]
Results: 10/32


sha1 gab s nicht


Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - TR/Dldr.Agent.fiv
Authentium - - -
Avast - - -
AVG - - Obfustat.AANF
BitDefender - - -
CAT-QuickHeal - - Trojan.Obfuscated.lf
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - Trojan.Win32.Obfuscated.lf
Ikarus - - -
Kaspersky - - Trojan.Win32.Obfuscated.lf
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - Spyware/Virtumonde
Prevx1 - - Trojan.Vundo
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - Adware.Vundo.V.Gen
Webwasher-Gateway - - Trojan.Dldr.Agent.fiv


Größe: 38,5 KB (39.424 Bytes)

ZUR ANDEREN DLL

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.1.0 2007.11.30 -
AntiVir 7.6.0.34 2007.11.30 -
Authentium 4.93.8 2007.12.01 -
Avast 4.7.1074.0 2007.11.30 -
AVG 7.5.0.503 2007.12.01 Lop
BitDefender 7.2 2007.12.01 -
CAT-QuickHeal 9.00 2007.12.01 -
ClamAV 0.91.2 2007.12.01 -
DrWeb 4.44.0.09170 2007.12.01 -
eSafe 7.0.15.0 2007.11.29 -
eTrust-Vet 31.3.5340 2007.11.30 -
Ewido 4.0 2007.12.01 -
FileAdvisor 1 2007.12.01 -
Fortinet 3.14.0.0 2007.12.01 -
F-Prot 4.4.2.54 2007.11.30 -
F-Secure 6.70.13030.0 2007.11.30 -
Ikarus T3.1.1.12 2007.12.01 -
Kaspersky 7.0.0.125 2007.12.01 -
McAfee 5175 2007.11.30 -
Microsoft 1.3007 2007.12.01 -
NOD32v2 2696 2007.11.30 -
Norman 5.80.02 2007.11.30 -
Panda 9.0.0.4 2007.12.01 -
Prevx1 V2 2007.12.01 Trojan.Vundo
Rising 20.20.51.00 2007.12.01 -
Sophos 4.23.0 2007.12.01 -
Sunbelt 2.2.907.0 2007.12.01 -
Symantec 10 2007.12.01 -
TheHacker 6.2.9.146 2007.11.30 -
VBA32 3.12.2.5 2007.12.01 -
VirusBuster 4.3.26:9 2007.12.01 Adware.Vundo.V.Gen
weitere Informationen
File size: 78912 bytes
MD5: 3211e7d15dac499231f809a522d394c7
SHA1: 1b18f1aa0731f7213fd127af4fb26a5aa9cc208b
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=A3D2845440B304D83473017F43B58000E71767A7


Größe: 77,0 KB (78.912 Bytes)


Alt 01.12.2007, 17:56   #6
Brast
 
qomkhee.dll Entfernen - Standard

qomkhee.dll Entfernen



Hab mal noch ne 3. Datei geprüft die mir verdächtig vorkommt da ich sie nicht installiert hab und sie nicht löschen kann!

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - BlockReason.0
weitere Informationen
MD5: 1f5a570ad942dfcfe4500326abdd72b2


Pfad:C:\Programme\Bonjour\mdnsNSP.dll

Größe: 92,0 KB (94.208 Bytes)

Alt 01.12.2007, 23:46   #7
nochdigger
 
qomkhee.dll Entfernen - Standard

qomkhee.dll Entfernen



Hallo

Zitat:
Hab mal noch ne 3. Datei geprüft die mir verdächtig vorkommt da ich sie nicht installiert hab
Das ist gut, dass du aufmerksam bist, bei der Datei handelt es sich aber nur um einen Teil einer Software von Apple.

Starte HijackThis mit der Option - do a system scan only - und hake diese Einträge an :
Zitat:
O2 - BHO: (no name) - {1A5F3580-82CA-47BA-BE7C-05A63C49B4C9} - C:\WINDOWS\system32\jkhhf.dll
O2 - BHO: {01e120c4-a6de-b209-e2d4-b580a5d44c38} - {83c44d5a-085b-4d2e-902b-ed6a4c021e10} - C:\WINDOWS\system32\kivsbqno.dll
O2 - BHO: (no name) - {CDEFFD4C-B15D-4C79-8500-0ED4CF6AC68B} - C:\WINDOWS\system32\qomkhee.dll
O20 - Winlogon Notify: qomkhee - C:\WINDOWS\SYSTEM32\qomkhee.dll
klicke nun auf - fix checked - und beende Hijackthis.


Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\kivsbqno.dll
C:\WINDOWS\system32\qomkhee.dll
C:\WINDOWS\system32\jkhhf.dll
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass nach einem Neustart HijackThis nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei.

MFG

Alt 02.12.2007, 18:25   #8
Brast
 
qomkhee.dll Entfernen - Standard

qomkhee.dll Entfernen



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\whevgoci

*******************

Script file located at: \??\C:\ympcsqfv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\kivsbqno.dll deleted successfully.
File C:\WINDOWS\system32\qomkhee.dll deleted successfully.


File C:\WINDOWS\system32\jkhhf.dll not found!
Deletion of file C:\WINDOWS\system32\jkhhf.dll failed!

Could not process line:
C:\WINDOWS\system32\jkhhf.dll
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.





Logfile of HijackThis v1.99.1
Scan saved at 18:25:24, on 02.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\STacSV.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Ich\Desktop\ACB.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {C1682CA3-ADE0-42BC-8FCD-0919039535A2} - C:\WINDOWS\system32\mljgf.dll
O2 - BHO: (no name) - {CDEFFD4C-B15D-4C79-8500-0ED4CF6AC68B} - C:\WINDOWS\system32\qomkhee.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: qomkhee - qomkhee.dll (file missing)
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Programme\SigmaTel\C-Major Audio\WDM\STacSV.exe



MFG Sven

Alt 02.12.2007, 19:13   #9
nochdigger
 
qomkhee.dll Entfernen - Standard

qomkhee.dll Entfernen



Hallo

bitte gleiches Vorgehen wie vorher nur jetzt mit diesen Einträgen (fixen) :
Zitat:
O2 - BHO: (no name) - {C1682CA3-ADE0-42BC-8FCD-0919039535A2} - C:\WINDOWS\system32\mljgf.dll
O2 - BHO: (no name) - {CDEFFD4C-B15D-4C79-8500-0ED4CF6AC68B} - C:\WINDOWS\system32\qomkhee.dll (file missing)
O20 - Winlogon Notify: qomkhee - qomkhee.dll (file missing)
und diesen mit Avenger löschen
Code:
ATTFilter
C:\WINDOWS\system32\mljgf.dll
         
Erstelle bitte mal ein Silentrunners Log

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

MFG

Alt 02.12.2007, 21:21   #10
Brast
 
qomkhee.dll Entfernen - Standard

qomkhee.dll Entfernen



Danke viel mals bis jetzt hat alles geklappt!!!


Hier der rest:



"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"DAEMON Tools Pro Agent" = ""E:\Programme\DAEMON Tools Pro\DTProAgent.exe"" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{074C1DC5-9320-4A9A-947D-C042949C6216}\(Default) = (no title provided)
-> {HKLM...CLSID} = "ContributeBHO Class"
\InProcServer32\(Default) = "E:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll" ["Adobe Systems Incorporated."]
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Groove GFS Browser Helper"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Conversion Toolbar Helper"
\InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]
{C1682CA3-ADE0-42BC-8FCD-0919039535A2}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\mljgf.dll" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "E:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{72853161-30C5-4D22-B7F9-0BBC1D38A37E}" = "Groove GFS Browser Helper"
-> {HKLM...CLSID} = "Groove GFS Browser Helper"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}" = "Groove GFS Explorer Bar"
-> {HKLM...CLSID} = "Groove Folder Synchronization"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{A449600E-1DC6-4232-B948-9BD794D62056}" = "Groove GFS Stub Icon Handler"
-> {HKLM...CLSID} = "Groove GFS Stub Icon Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
-> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{6C467336-8281-4E60-8204-430CED96822D}" = "Groove GFS Context Menu Handler"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{387E725D-DC16-4D76-B310-2C93ED4752A0}" = "Groove XML Icon Handler"
-> {HKLM...CLSID} = "Groove XML Icon Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{16F3DD56-1AF5-4347-846D-7C10C4192619}" = "Groove Explorer Icon Overlay 3 (GFS Folder)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 3 (GFS Folder)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}" = "Groove Explorer Icon Overlay 2 (GFS Stub)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2 (GFS Stub)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}" = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{99FD978C-D287-4F50-827F-B2C658EDA8E7}" = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{920E6DB1-9907-4370-B3A0-BAFC03D81399}" = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
-> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL" [MS]
"{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C}" = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
-> {HKLM...CLSID} = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\msohevi.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
-> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
-> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 8.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "E:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"
-> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 8.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
DaemonShellExtImage\(Default) = "{40966797-8FFE-46C8-9EF8-7003F33CCF0F}"
-> {HKLM...CLSID} = "DaemonShellExtImage Class"
\InProcServer32\(Default) = "E:\Programme\DAEMON Tools Pro\imgshl32.dll" ["DT Soft Ltd."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "E:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "E:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "E:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 8.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "E:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"
-> {HKLM...CLSID} = "Groove GFS Context Menu Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]


Default executables:
--------------------

HKCU\Software\Classes\batfile\

HKCU\Software\Classes\cmdfile\


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "E:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\Bonjour\mdnsNSP.dll" ["Apple Computer, Inc."]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Classes\CLSID\{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}\(Default) = "Groove Folder Synchronization"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [MS]

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "E:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "E:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Cyberlink RichVideo Service(CRVS), RichVideo, ""C:\Programme\Cyberlink\Shared files\RichVideo.exe"" [empty string]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
SigmaTel Audio Service, STacSV, "C:\Programme\SigmaTel\C-Major Audio\WDM\STacSV.exe" ["SigmaTel, Inc."]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]
Send To Microsoft OneNote Monitor\Driver = "msonpmon.dll" [MS]


---------- (launch time: 2007-12-02 21:20:05)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 19 seconds, including 5 seconds for message boxes)

Alt 03.12.2007, 16:53   #11
nochdigger
 
qomkhee.dll Entfernen - Standard

qomkhee.dll Entfernen



Hallo

na schön, sieht erstmal gut aus das ganze.
Erstelle nochmal ein frisches HijackThis Log und poste zur Nachkontrolle nochmal den System32-Ordner aus der Filelist.

Lass Tuneup verweiste Registryeinträge beseitigen.

Führe ein Update deines Antivir durch und lass im abgesicherten Modus ein Komplettscan machen.

Gibt es noch Probleme?

MFG

Alt 03.12.2007, 17:41   #12
Brast
 
qomkhee.dll Entfernen - Standard

qomkhee.dll Entfernen



Nein keine weiteren Probleme vielen dank.

Jetzt kann ich weiter Programmieren.

MFG Sven

Antwort

Themen zu qomkhee.dll Entfernen
ad-aware, adobe, antivir, avira, bonjour, cs3, cyberlink, dateien, desktop, einstellungen, entfernen, explorer, hijack, hijackthis, internet, internet explorer, need for speed, nvidia, programme, rundll, server, system, trojaner, trojaner gemeldet, unknown file in winsock lsp, windows, windows xp, winsock




Zum Thema qomkhee.dll Entfernen - qomkhee.dll wird mir von Anti Vir Als folgenden Trojaner gemeldet: -TR/Dldr.Agent.fiv Wie kann ich diesen entfernen. Ferner Poste ich mal mein HijackThis Protokoll. Was kann ich da noch verbessern? Logfile - qomkhee.dll Entfernen...
Archiv
Du betrachtest: qomkhee.dll Entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.