pmmon.exe

[Anselm]

Hallo,

gestern zeigte Spybot - Search & Destroy folgende Warnung: "Zlob.VideoAXObject: Benutzer-Einstellungen (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-21-2259676311-1777236870-534083310-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache\*\pmmon.exe", mit dem Kommentar:

Produkt: Zlob.VideoAXObject
Bedrohung: Trojan

Beschreibung
Trojan, which downloads and installs various third party spyware and malware to the infected computer.

Ich verwende ein Programm namens pmmon.exe und fragte im Forum des Herstellers, was das zu bedeuten habe. Seine Antwort:

"It's a false alarm. It's a pretty sloppy application that identifies threats by file name only, but that's the case here. Rename PMMON.EXE to anything else and suddenly it's no longer a problem."

Obwohl ich den Fehler gestern per Klick behoben habe, ist die Meldung heute wieder da. Die Umbenennung kann wohl nicht die Lösung sein, schon im Hinblick auf Updates.

Ad-Aware SE Personal zeigt übrigens kein Problem an.

Weiß jemand einen besseren Rat?

Danke, Anselm

 

[raman]

Welches Programm ist pmmon.exe genau, welches du nutzt. Poste bitte zusaetzlich noch ein Combofix Report: http://virus-protect.org/artikel/tools/combofix.html

 

[Anselm]

Welches Programm ist pmmon.exe genau, welches du nutzt.

http://www.authord.com/PP/

Poste bitte zusaetzlich noch ein Combofix Report: http://virus-protect.org/artikel/tools/combofix.html

"Anselm" - 2007-05-12 10:11:35    Service Pack 2  
ComboFix 07-05.08.3.V - Running from: "C:\Programme\combofix.exe\"


((((((((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\regedit.com


(((((((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_NWSAPAGENT
-------\nm
-------\NwSapAgent


(((((((((((((((((((((((((((((((   Files Created from 2007-04-05 to 2007-05-12  ))))))))))))))))))))))))))))))))))


2007-05-12 10:06	<DIR>	d--------	C:\Programme\combofix.exe
2007-05-06 17:44	719,872	--a------	C:\WINDOWS\system32\devil.dll
2007-05-06 17:44	70,656	--a------	C:\WINDOWS\system32\yv12vfw.dll
2007-05-06 17:44	70,656	--a------	C:\WINDOWS\system32\i420vfw.dll
2007-05-06 17:44	66,560	--a------	C:\WINDOWS\MOTA113.exe
2007-05-06 17:44	502,784	--a------	C:\WINDOWS\x2.64.exe
2007-05-06 17:44	471,552	--a------	C:\WINDOWS\system32\Smab.dll
2007-05-06 17:44	306,688	--a------	C:\WINDOWS\system32\avisynth.dll
2007-05-06 17:44	27,648	--a------	C:\WINDOWS\system32\AVSredirect.dll
2007-05-06 17:44	240,128	--a------	C:\WINDOWS\system32\x.264.exe
2007-05-06 17:44	217,073	--a------	C:\WINDOWS\meta4.exe
2007-05-06 17:43	31,744	-r-hs----	C:\WINDOWS\system32\msfDX.dll
2007-05-06 17:43	163,328	-r-hs----	C:\WINDOWS\system32\flvDX.dll
2007-05-06 17:43	<DIR>	d--------	C:\Programme\eRightSoft
2007-05-01 10:01	<DIR>	d--------	C:\temp\Christopher
2007-04-30 11:38	<DIR>	d--------	C:\Programme\JAlbum7.1
2007-04-24 11:42	180,066	--a------	C:\DOKUME~1\ALLUSE~1\ANWEND~1\mainlsp.reg.dat
2007-04-21 18:04	<DIR>	d--------	C:\Programme\AutoHotkey
2007-04-20 19:39	<DIR>	d--------	C:\Programme\Avery Dennison
2007-04-20 19:39	<DIR>	d--------	C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avery
2007-04-20 08:10	<DIR>	d--------	C:\DOKUME~1\Anselm\ANWEND~1\AntiVir PersonalEdition Premium
2007-04-19 12:50	43,584	--a------	C:\WINDOWS\system32\drivers\avipbb.sys
2007-04-19 12:50	28,352	--a------	C:\WINDOWS\system32\drivers\ssmdrv.sys
2007-04-13 13:34	638,976	--a------	C:\WINDOWS\system32\cjpcscui.exe
2007-04-13 13:34	47,616	---------	C:\WINDOWS\system32\cjKbBase.dll
2007-04-13 13:34	413,696	--a------	C:\WINDOWS\system32\cjpcsc32.dll
2007-04-13 13:34	27,648	---------	C:\WINDOWS\system32\win32com.dll
2007-04-13 13:34	167,936	---------	C:\WINDOWS\system32\SerialXP.dll
2007-04-13 13:34	14,949	---------	C:\WINDOWS\system32\drivers\bizVSerialNT.sys
2007-04-13 13:34	<DIR>	d----c---	C:\WINDOWS\system32\DRVSTORE


((((((((((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-05-12 08:08:04	--------	d-----w	C:\Programme\Quicken2007
2007-05-12 07:36:32	--------	d-----w	C:\Programme\TGeb
2007-05-11 19:20:02	--------	d-----w	C:\Programme\Mozilla Thunderbird
2007-05-11 14:55:59	--------	d-----w	C:\Programme\ezAdressen
2007-05-11 07:52:55	--------	d-----w	C:\Programme\STAMPIT
2007-05-10 17:14:08	--------	d-----w	C:\Programme\5CentSMS
2007-05-10 07:59:20	422,324	----a-w	C:\WINDOWS\system32\perfh007.dat
2007-05-10 07:59:18	77,956	----a-w	C:\WINDOWS\system32\perfc007.dat
2007-05-08 12:49:57	--------	d-----w	C:\Programme\Hardcopy
2007-05-08 12:16:21	--------	d-----w	C:\Programme\Cmaster
2007-05-08 09:08:20	--------	d-----w	C:\Programme\Passwords Max
2007-05-08 08:28:25	--------	d-----w	C:\Programme\MOBackup
2007-05-06 13:59:01	--------	d-----w	C:\Programme\Gigaset DECT
2007-05-03 13:05:24	--------	d-----w	C:\Programme\WinFamily
2007-05-01 06:55:22	--------	d-----w	C:\Programme\WS_FTP Pro
2007-04-27 17:09:18	--------	d-----w	C:\Programme\Digitale Rückwärtssuche 2005
2007-04-25 10:41:22	--------	d-----w	C:\Programme\AntiVir PersonalEdition Premium
2007-04-20 17:39:32	--------	d--h--w	C:\Programme\InstallShield Installation Information
2007-04-13 11:34:03	--------	d-----w	C:\Programme\REINER SCT
2007-04-11 13:47:46	--------	d-----w	C:\Programme\FileFolderCleaner
2007-04-11 13:44:19	--------	d-----w	C:\Programme\CBL Datenrettung GmbH
2007-04-10 09:04:49	--------	d-----w	C:\Programme\ProcessExplorer
2007-04-10 01:40:00	113,664	----a-w	C:\WINDOWS\mobackup4.exe
2007-04-09 10:54:29	--------	d-----w	C:\Programme\OO Software
2007-03-29 06:24:30	--------	d-----w	C:\DOKUME~1\Anselm\ANWEND~1\Real
2007-03-28 16:55:53	--------	d-----w	C:\Programme\ScanSoft
2007-03-28 16:35:27	--------	d-----w	C:\Programme\Microsoft AutoRoute
2007-03-25 09:57:33	--------	d-----w	C:\Programme\EIGAZ
2007-03-20 13:00:14	--------	d-----w	C:\Programme\Farbwert
2007-03-17 13:44:25	293,376	----a-w	C:\WINDOWS\system32\winsrv.dll
2007-03-08 15:36:30	579,072	----a-w	C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30	40,960	------w	C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30	281,600	----a-w	C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24	1,843,712	------w	C:\WINDOWS\system32\win32k.sys
2007-03-05 21:17:19	--------	d-----w	C:\Programme\Western Digital Technologies
2007-03-05 21:15:12	--------	d-----w	C:\Programme\WinDlg
2007-03-05 09:19:44	27,648	----a-w	C:\WINDOWS\system32\sevKTO32.dll
2007-03-04 20:26:16	593,920	----a-w	C:\WINDOWS\system32\cjpcsc.exe
2007-03-04 20:25:52	303,104	----a-w	C:\WINDOWS\system32\ctrsct32.dll
2007-02-27 02:20:00	113,664	----a-w	C:\WINDOWS\mobackup3.exe
2007-02-21 12:29:04	311,296	------w	C:\WINDOWS\system32\fpmon5.dll
2007-02-18 18:38:00	147,456	------w	C:\WINDOWS\system32\cjppa32.dll
2007-02-16 07:28:02	172,032	------w	C:\WINDOWS\system32\fpres532.dll
2007-02-05 20:18:44	185,856	------w	C:\WINDOWS\system32\upnphost.dll


((((((((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))
 
 
*Note* empty entries & legit default entries are not shown 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
"{53707962-6F74-2D53-2644-206D7942484F}"="C:\PROGRA~1\SPYBOT~1\SDHelper.dll"
"{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}"="C:\Programme\Java\jre1.6.0_01\bin\ssv.dll"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Wizard"=""
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_01\\bin\\jusched.exe\""
"SoundMan"="SOUNDMAN.EXE"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"InCD"="C:\\Programme\\Ahead\\InCD\\InCD.exe"
"Google Desktop Search"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"FineReader7NewsReaderPro"="C:\\Programme\\ABBYY FineReader 7.0 Professional Edition\\AbbyyNewsReader.exe"
"FinePrint Dispatcher v5"="\"C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\fpdisp5a.exe\" /source=HKLM"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Premium\\avgnt.exe\" /min"
"SystemTray"=hex(2):25,77,69,6e,64,69,72,25,5c,73,79,73,74,65,6d,33,32,5c,73,\
"TrueImageMonitor.exe"="C:\\Programme\\Acronis\\TrueImageHome\\TrueImageMonitor.exe"
"AcronisTimounterMonitor"="C:\\Programme\\Acronis\\TrueImageHome\\TimounterMonitor.exe"
"Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"Motive SmartBridge"="C:\\PROGRA~1\\T-Com\\T-DSLS~1\\SMARTB~1\\Smartbridge.exe"
"Acrobat Assistant 8.0"="\"C:\\Programme\\Adobe\\Acrobat 8.0\\Acrobat\\Acrotray.exe\""
@=""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\"  -osboot"
"SerExt"="SerExt.exe /unplug "

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\nbj.exe\""
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"UIWatcher"="C:\\Programme\\ashampoo\\Ashampoo UnInstaller Platinum 2\\UIWatcher.exe"
"SharpTray"="C:\\Programme\\Sharp\\Sharpdesk\\SharpTray.exe"
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Acrobat\\AdobeUpdateManager.exe\" AcStd7_0_8 -reboot 1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSaveSettings"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
   Authentication Packages	msv1_0\0relog_ap\0\0
   Security Packages	kerberos\0msv1_0\0schannel\0wdigest\0\0
   Notification Packages	scecli\0\0


 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService	Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService	DnsCache\0\0
rpcss	RpcSs\0\0
imgsvc	StiSvc\0\0
termsvcs	TermService\0\0
HTTPFilter	HTTPFilter\0\0
DcomLaunch	DcomLaunch\0TermService\0\0
WudfServiceGroup	WUDFSvc\0\0

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost


********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, [url]http://www.gmer.net[/url]
Rootkit scan 2007-05-12 10:31:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 2007-05-12 10:46:27 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-05-12 10:46

Inhalt von C:\ComboFix-quarantined-files.txt:

2004-08-04 00:58      140800    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\TASKMGR.COM.vir
2004-08-04 00:58      153600    --a------    C:\Qoobox\Quarantine\C\WINDOWS\REGEDIT.COM.vir
2007-05-12 10:21      1060    --a------    C:\Qoobox\Quarantine\Registry_backups\LEGACY_NWSAPAGENT.reg.cf
2007-05-12 10:21      352    --a------    C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.cf
2007-05-12 10:21      3630    --a------    C:\Qoobox\Quarantine\Registry_backups\services_NwSapAgent.reg.cf


Auflistung der Ordnerpfade fr Volume 53_01_02
Volumenummer: C0A3-B57C
C:\QOOBOX
\---Quarantine
    +---C
    |   \---WINDOWS
    |       |   REGEDIT.COM.vir
    |       |   
    |       \---system32
    |               TASKMGR.COM.vir
    |               
    \---Registry_backups
            LEGACY_NWSAPAGENT.reg.cf
            services_nm.reg.cf
            services_NwSapAgent.reg.cf

Dank und Gruß, Anselm

 

[raman]

Das sieht sauber aus. Loesche bitte den combofixOrdner und C:\QOOBOX. Die einfachste Moeglichkeit fuer dich waere in diesem Fall, den Eintrag, den Spybot Meldet zur Ignorierliste hinzuzufuegen. Dazu nach dem Scan auf den Fund mit der rechten Maustaste druecken und entsprechend den Eintrag zum ignorieren waehlen.

 

[Anselm]

Das sieht sauber aus. Loesche bitte den combofixOrdner und C:\QOOBOX. Die einfachste Moeglichkeit fuer dich waere in diesem Fall, den Eintrag, den Spybot Meldet zur Ignorierliste hinzuzufuegen. Dazu nach dem Scan auf den Fund mit der rechten Maustaste druecken und entsprechend den Eintrag zum ignorieren waehlen.

Diese Möglichkeit kannte ich noch gar nicht. Ein diskreter Hinweis auf der Benutzeroberfläche wäre hilfreich. Ok, jedenfalls bin ich das Problem los. Die Löschungen habe ich durchgeführt.

Vielen Dank, Anselm

 

[Yodama]

hallo,

"Zlob.VideoAXObject: Benutzer-Einstellungen (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-21-2259676311-1777236870-534083310-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache\*\pmmon.exe",

ist wohl wirklich ein FP, wird demnächst aus der Erkennung entfernt.

Ich verwende ein Programm namens pmmon.exe und fragte im Forum des
Herstellers, was das zu bedeuten habe. Seine Antwort:

"It's a false alarm. It's a pretty sloppy application that identifies threats by file name only, but that's the case here. Rename PMMON.EXE to anything else and suddenly it's no longer a problem."

nunja, also die Aussage des Herstellers ist etwas harsch, aber auch nicht ganz falsch. An dieser Stelle in der Registrierung können wir derzeit nur nach Namen gehen, bei der Erkennung von Dateien geht es aber nicht nur nach Dateinamen.

Der hier gefundene Eintrag im MUICache findet im Prinzip nur , daß die exe mit dem entsprechenden Namen ausgeführt wurde.


Wie gesagt wird es aus der Erkennung entfernt.