Trojan Dropper vnwjeo.exe

Dick_Brave · 08.02.2005, 16:10

Tag erstmal

Habe gerade meinen Rechner angeschmissen da hat Norton auch direkt ne Virenmeldung ausgespuckt.

Trojan dropper found

C:/Windows/System32/vnwjeo.exe

Bei einem Neustart meines Pc's kommt nach ca ner halben Minute folgende Meldung:

"Windows muss jetzt neu gestartet werden,
da der Dienst Remoteprozeduraufruf (RPC)
unerwartet beendet wurde."

Kann das aber noch verhindern indem ich mit Ausführen shutdown -a eingebe.

Brauche dringend eure Hilfe.
Hier die Hijackfile:

Logfile of HijackThis v1.99.0
Scan saved at 16:09:10, on 08.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\AVPersonal\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
D:\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Norton Personal Firewall\NISUM.EXE
D:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Norton Personal Firewall\IAMAPP.EXE
D:\NORTON~2\SPEEDD~1\nopdb.exe
D:\NORTON~2\NORTON~1\navapw32.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\PROGRA~1\TCMMOU~1\MouseDrv.exe
C:\WINDOWS\System32\LXSUPMON.EXE
D:\AVPersonal\AVGNT.EXE
D:\Norton Personal Firewall\SymProxySvc.exe
D:\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Internet Explorer\iexplore.exe
G:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iamapp] D:\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] D:\NORTON~2\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMMOU~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMMOU~1\MouseDrv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{93DE3F89-8A9A-4DFB-AE52-E4005AE1B558}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service - Symantec Corporation - D:\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager - Symantec Corporation - D:\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: Norton Personal Firewall Proxy Service - Symantec Corporation - D:\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Dick_Brave

chaosman · 08.02.2005, 18:22

@Dick_Brave
wie schon so oft:
erst system und IE updaten, anders ist der rest umsonst
wechsle in den abgesicherten modus und fixe mit HJT

O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMMOU~1\MouseDrv.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab

danach manuell löschen
C:\PROGRA~1\TCMMOU~1\MouseDrv.exe

neu booten, neues HJT logfile posten

chaosman

Dick_Brave · 08.02.2005, 20:43

Das wusste ich nicht sorry.

Bin erst seit heute hier und hab net so viel Ahnung davon.
Hab nur gesehen dass hier jeder seine Hijackfile reinpostet.

Trojan Dropper vnwjeo.exe

Log-Analyse und Auswertung: Trojan Dropper vnwjeo.exe