| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Windows 2000 Pro Bhoassui.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.04.2005, 00:21
| #1 |
| |  Windows 2000 Pro Bhoassui.exe Kann irgendjemand etwas mit dieser Anwendung anfangen? Bei jedem Systemstart befindet sich diese Anwendung erneut im Winnt Ordner zusammen mit der Datei bhoass.dll Beide hatte ich gelöscht, sind aber nach jedem Systemstart wieder da. Vom Virenscanner wird sie auch als befallene Datei erkannt und verschoben. Verdächtigt auf: BehavesLike:Trojan.StartPage Ich denke das ist auch der Außlöser für diese "about:blank" Geschichte bei meinem IE Und laut HijackThis wird dies beim scan angezeigt. O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll Ich weiß da nicht mehr weiter. Geändert von Damion (14.04.2005 um 00:27 Uhr) |
|
14.04.2005, 06:30
| #2 |
| Administrator, a.D.   | Windows 2000 Pro Bhoassui.exe Hallo,
__________________um mehr Einblick auf dein System zu bekommen, solltest du auch uns ein HJT Log-File zur Verfügung stellen. Die Bhoassui.exe und die C:\WINNT\bhoass.dll hast du gelöscht, oder? Ebenso solltest du dies ausführen: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log im Ordner C:\bases_X -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________ |
|
15.04.2005, 13:10
| #3 |
| | Windows 2000 Pro Bhoassui.exe Das wäre erstmal das HJT logfile
__________________Logfile of HijackThis v1.99.1 Scan saved at 13:49:42, on 15.04.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP4 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\explorer.exe C:\WINNT\system32\TASKMGRU.EXE C:\WINNT\system32\MSIMN32.EXE C:\WINNT\htpatch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\D-Tools\daemon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\TASKMGRU.EXE C:\WINNT\system32\MSIMN32.EXE C:\Programme\FRITZ!\IWatch.exe D:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Arcor O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [TASKMGRU] C:\WINNT\system32\TASKMGRU.EXE O4 - HKCU\..\Run: [MSIMN32] C:\WINNT\system32\MSIMN32.EXE O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O16 - DPF: {11111111-1111-1111-1111-111111111111} - O17 - HKLM\System\CCS\Services\Tcpip\..\{4902A7F5-0AAB-42EC-B676-50A6191BB150}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe die einträge RO und O2 erscheinen nach jedem Start vom IE neu. sowie die Datei bhoass.dll und bhoassui.exe auch wenn ich sie zuvor gelöscht hab. |
|
15.04.2005, 13:22
| #4 |
| | Windows 2000 Pro Bhoassui.exe Und hier die Virus Log Infos Fri Apr 15 13:27:03 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD Fri Apr 15 13:27:03 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Fri Apr 15 13:27:03 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 15 13:27:03 2005 => System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken. Fri Apr 15 13:27:03 2005 => File System Found infected by "BlazeFind Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 15 13:27:03 2005 => System found infected with SahAgent Spyware/Adware ({4828C95F-C5DB-4AB6-A945-8D8EC44B98A8})! Action taken: No Action Taken. Fri Apr 15 13:27:03 2005 => File System Found infected by "SahAgent Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 15 13:27:03 2005 => System found infected with SahAgent Spyware/Adware ({4E570F74-DEEE-4FCF-B960-FEEFA4B8C6FC})! Action taken: No Action Taken. Fri Apr 15 13:27:03 2005 => File System Found infected by "SahAgent Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 15 13:27:05 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken. Fri Apr 15 13:27:05 2005 => File System Found infected by "WindUpdate Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 15 13:27:05 2005 => File C:\WINNT\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken. Fri Apr 15 13:27:07 2005 => File C:\WINNT\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken. Fri Apr 15 13:28:08 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kbhe.exe infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken. Fri Apr 15 13:28:08 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\load.hta infected by "Trojan-Downloader.JS.gen" Virus. Action Taken: No Action Taken. Fri Apr 15 13:39:10 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD Fri Apr 15 13:39:10 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Fri Apr 15 13:39:10 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 15 13:39:10 2005 => System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken. Fri Apr 15 13:39:10 2005 => File System Found infected by "BlazeFind Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 15 13:39:10 2005 => System found infected with SahAgent Spyware/Adware ({4828C95F-C5DB-4AB6-A945-8D8EC44B98A8})! Action taken: No Action Taken. Fri Apr 15 13:39:10 2005 => File System Found infected by "SahAgent Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 15 13:39:10 2005 => System found infected with SahAgent Spyware/Adware ({4E570F74-DEEE-4FCF-B960-FEEFA4B8C6FC})! Action taken: No Action Taken. Fri Apr 15 13:39:10 2005 => File System Found infected by "SahAgent Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 15 13:39:13 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken. Fri Apr 15 13:39:13 2005 => File System Found infected by "WindUpdate Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 15 13:39:13 2005 => File C:\WINNT\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken. Fri Apr 15 13:39:18 2005 => File C:\WINNT\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken. Fri Apr 15 13:41:14 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kbhe.exe infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken. Fri Apr 15 13:41:14 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\load.hta infected by "Trojan-Downloader.JS.gen" Virus. Action Taken: No Action Taken. Fri Apr 15 13:26:56 2005 => File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Fri Apr 15 13:27:01 2005 => File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Fri Apr 15 13:27:08 2005 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Apr 15 13:39:02 2005 => File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Fri Apr 15 13:39:20 2005 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. So, die Liste ist heftig. Ich hatte mit Bitdefender nicht so eine hohe trefferquote. |
|
| Themen zu Windows 2000 Pro Bhoassui.exe |
| about, about:blank, anwendung, befindet, bla, blank, datei, erkannt, erneut, gelöscht, geschichte, hijack, hijackthis, nicht mehr, ordner, scan, scanner, systemstart, virenscan, virenscanner, win, windows, winnt, zusammen |
Linear-Darstellung
