Moin allerseits,

seit einigen Tagen meldet sich AntiVir unmittelbar nachdem Windows fertiggeladen hat mit ner Trojaner-Meldung bezüglich "TR/Spy.VB.eh.3".

Hab gerade mal danach gegoogelt, konnte aber leider keine hilfreichen Infos finden, die mir beim Beseitigen helfen.

Interessant ist vielleicht noch die Tatsache, dass sich die Meldung vermehrfacht aht. Anfangs musste ich das Ding zweimal löschen, nun sinds bereits 6mal gewesen.

Ich hoffe irgendwer kann mir dabei helfen. Wäre sehr dankbar dafür.

Hab irgendwo aufgeschnappt, dass nen HiJack-Scan sinvoll wär:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 15:00:49, on 18.04.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\acsxoc.exe
C:\WINDOWS\System32\internat.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\acsxoc.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\wlm.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\System32\wuauclt.exe
c:\windows\system32\mksc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\BENJAM~1\LOKALE~1\Temp\Rar$EX01.750\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing)
O2 - BHO: C:\WINDOWS\lbbho.dll - {C46B457B-720D-451E-AB81-D3A509712625} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: iMesh Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [acsxoc] C:\WINDOWS\System32\acsxoc.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [acsxoc] C:\WINDOWS\System32\acsxoc.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\wlm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'osmim.dll' missing
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FFFFFFFF-3C18-4A7E-A29D-E24F84B79BF1} - http://64.7.220.98/downloads/pi1_20.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Könnte eventuell hiermit Familie sein http://www.sophos.de/virusinfo/analyses/trojvbeg.html

das fixen!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing)
O2 - BHO: C:\WINDOWS\lbbho.dll - {C46B457B-720D-451E-AB81-D3A509712625} - C:\WINDOWS\lbbho.dll

O16 - DPF: {FFFFFFFF-3C18-4A7E-A29D-E24F84B79BF1} - http://64.7.220.98/downloads/pi1_20.exe

___________
den rechner in den abgesicherten smodus tarten, temporäre internetfiles incl.offlineinhalte löschen, Ordner TEMP leeren/papierkorb leeren UND nochmals mit dem virenscanner die festplatte checken.

ausserdem AntiVir und AVG zusammen aktiv ist nicht gut! Ein scanner soll deaktiviert sein!

Hallo,

diese Einträge ebenfalls fixen:
O4 - HKCU\..\Run: [acsxoc] C:\WINDOWS\System32\acsxoc.exe
O4 - HKCU\..\RunOnce: [acsxoc] C:\WINDOWS\System32\acsxoc.exe

und die Datei im abgesicherten Modus löschen (fixen alle reicht nicht).

dartus

haben sogar noch etwas übersehen:

O3 - Toolbar: iMesh Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL

So, bin grad ausm Urlaub zurück gekommen und hab daher erst jetzt gesehen, was ihr zu meinem prob meint. Für eure Hilfe schonmal vielen dank... Ich werde am Wochenende mal anfangen, klar schiff zu machen...

vorher sind da aber noch ein paar Fragen:

Zitat:

ausserdem AntiVir und AVG zusammen aktiv ist nicht gut! Ein scanner soll deaktiviert sein!

HÄ? Hab doch nur den AVG (falls du damit den antivir guide meinst) offen (im autostart) und der isses meines erachtens auch, der den trojaner jedes mal findet. sind doch eh keine verschiedenen virenscanner oder?

Zitat:

Hallo,

diese Einträge ebenfalls fixen:
O4 - HKCU\..\Run: [acsxoc] C:\WINDOWS\System32\acsxoc.exe
O4 - HKCU\..\RunOnce: [acsxoc] C:\WINDOWS\System32\acsxoc.exe

und die Datei im abgesicherten Modus löschen (fixen alle reicht nicht).

dartus

Was macht die Datei denn böses? Hängt die mit dem Trojaner zusammen?

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/

Wieso das? Ist das nicht nur da, weil ich das als Startseite eigestellt hab? (hab nen lokalen apache laufen und daher ist das so ganz praktisch)

So, wär cool, wenn ihr mir nochma mit Rat zur Seite stehen könntet...

Greetz Behne