win.tmp & Vmundo-Invasion...Brauche HILFE.dringend.
 

Hallo,

also...genau beschreiben kann ich mein problem leider nicht, da ich die effekte der (kleinen) Invasion, dessen Opfer ich bin noch nich abschätzen kann.
Aber soweit gibts das an der Krisenfront:
der AntiVirGuard meldet sich zzt. alle 5-10 minuten um mir mitzuteilen er habe
dieses pferdchen TR/PCK.Klone.G.163 gefunden...
auch habe ich anzeichen einer Vmundo infektion aufgespürt ( AVG findet alle möglichen .exe dateien in meinen tempinternetfiles sowei in sys32...)
und es befinden sich ( selbstwiederherstellend) win.tmp-dateien im windows temp verzeichnis, die ich nach recherche im netz, als "etwas" beeunruhigend einstufen würde.
soweit so gut, das einzige was halt "passiert" ist bis jetzt ist das mein rechner laaaaangsamer geworden ist, sowie er probleme beim hochfahren hat.
meine letzte hoffnung ist nun ( nachdem AntiVir und Spybot, sowie AdAware nichts geholfen haben) das mir hier vielleicht jemand anhand meines ( folgenden) HJT-log helfen kann...

hier ist er:

Logfile of HijackThis v1.99.1
Scan saved at 18:30:20, on 21.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Netropa\Smart Keyboard\Smartkbd.exe
C:\Programme\Netropa\Smart Keyboard\MEDIACTR.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\Mozilla Firefox 2 Beta 1\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\****\LOKALE~1\Temp\Rar$EX00.219\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {664A7BBA-92C4-4086-8B63-D029A149629E} - C:\WINDOWS\system32\pmnllij.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Smart Keyboard] C:\Programme\Netropa\Smart Keyboard\Smartkbd.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=021107 serial=DR12WRX-0543966-FVW lang=DE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{07B0E9F4-E04F-4380-8120-306A143693D8}: NameServer = 192.168.69.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{07B0E9F4-E04F-4380-8120-306A143693D8}: NameServer = 192.168.69.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{07B0E9F4-E04F-4380-8120-306A143693D8}: NameServer = 192.168.69.254
O17 - HKLM\System\CS3\Services\Tcpip\..\{07B0E9F4-E04F-4380-8120-306A143693D8}: NameServer = 192.168.69.254
O20 - Winlogon Notify: winemx32 - C:\WINDOWS\SYSTEM32\winemx32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe


(anm.:raysat ist der Autodesk 3ds Max suite zugehörig)

es wäre wirklich sehr nett wenn mir jemand helfen könnte und dies auch täte~

danke schonmal im vorraus
Coely :confused:

Wo, welche Datei?
Wieso verwendest du noch die Betaversion? :confused:

C:\WINDOWS\SYSTEM32\winemx32.dll

Werte diese Datei doch mal bei Virustotal aus und poste die Ergebnisse.

diese in den temporären Internetfiles(!! vom MS Iexplorer, obwohl ich ausschließlich firefoxe):

srvgde[1].exe
srvtro[1].exe
srvuqu[1].exe
wlzip[1].exe
antzom[1].exe
mulbin[1].exe
lo1[1].exe

diese im Temp verz. von WINDOWS

win13.tmp
win1E.tmp
win20.tmp
win22.tmp...usw... die kommen in allen formen und farben vor

und im system32:

pmnlk.dll

...weil ich das erscheinen einer neuen version verpennt hatte ;)
hat sich aber erledigt-update erfolgt. *thankeee*



ist passiert :heulen:

Complete scanning result of "winemx32.dll", received in VirusTotal at 01.22.2007, 07:19:35 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.26 01.21.2007 no virus found
Authentium 4.93.8 01.21.2007 no virus found
Avast 4.7.936.0 01.18.2007 no virus found
AVG 386 01.21.2007 Proxy.KGC
BitDefender 7.2 01.22.2007 no virus found
CAT-QuickHeal 9.00 01.20.2007 no virus found
ClamAV devel-20060426 01.21.2007 no virus found
DrWeb 4.33 01.21.2007 Trojan.Mezzia
eSafe 7.0.14.0 01.21.2007 no virus found
eTrust-InoculateIT 23.73.119 01.22.2007 no virus found
eTrust-Vet 30.3.3343 01.22.2007 no virus found
Ewido 4.0 01.21.2007 no virus found
Fortinet 2.82.0.0 01.22.2007 no virus found
F-Prot 3.16f 01.21.2007 no virus found
F-Prot4 4.2.1.29 01.21.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 Trojan.Win32.Agent.vg
Kaspersky 4.0.2.24 01.22.2007 Trojan-Proxy.Win32.Agent.lu
McAfee 4943 01.19.2007 BackDoor-CVT
Microsoft 1.1904 01.22.2007 no virus found
NOD32v2 1995 01.21.2007 Win32/TrojanProxy.Agent.LU
Norman 5.80.02 01.21.2007 W32/Agent.dam
Panda 9.0.0.4 01.21.2007 Suspicious file
Prevx1 V2 01.22.2007 Polynomial.Code.Exploit
Sophos 4.13.0 01.20.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 VIPRE.Suspicious
TheHacker 6.0.3.153 01.21.2007 no virus found
UNA 1.83 01.19.2007 no virus found
VBA32 3.11.2 01.22.2007 no virus found
VirusBuster 4.3.19:9 01.21.2007 no virus found

Aditional Information
File size: 17920 bytes
MD5: d09d35fca1e3d4a3e762e693157b88d3
SHA1: 5e4ef3a3a095dcc405867a7e5e474d4a6ef2fddd
packers: PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=6b9669888095
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


sooo...ich glaube ich habe ein problem?

danke schonmal soweit Ú.ù

Jepp, das hast du. Sicherheitshalber solltest du das System neu aufsetzen, keiner weiß was der Schädling nachgeladen oder sonst so am System herummanipuliert hat.

na toll....U_____u
das hab ich grad hinter mir (neues Motherboard geholt...)
aaargh.
sowas passiert aber auch immer nur mir :headbang:

gibt's keine reperatur möglichkeiten? :heulen:

aber danke für die hilfe soweit....

Reparatur wäre eine Möglichkeit, aber ebenfalls zu unsicher.
Du willst doch nicht ellenlang das System bereinigen, evtl. noch eine Windows-Reparatur Install durchführen um dann im Hinterkopf behalten zu müssen, dass System könnte noch infiziert sein... :eek:

Das beste ist eine Sicherung (Systemimage) zu erstellen bevor irgendwas passiert. Backups haben sich immer bewährt, gerade bei Schädlingsbefall und Plattenausfällen. ;)

danke~danke danke für die liebe hilfe~

hmmm..naja ich mach mich dann ma ran an die arbeit....U__u

coely