servus,
fogendes problem:
ich hab auf meinem firmen-laptop ein paar dateien entdeckt die meiner meinung nach nicht ganz in ordnung sind. da ich mich am montag mit dem ding in paar kundennetzwerke einloggen muss, wäre es nicht schlecht wenn ich die sache bis dahin im griff bzw. beseitigt hab, deswegen steh ich bisschen unter zeitdruck. wäre schön wenn ihr mir helfen könntet!

betriebssystem: windows xp professional
+service pack 2

virenscanner: trend micro - office scan client

unbekannte dateien: gOhgkog.exe, IOGuyou.exe, UGf3elt.exe

ich habe bereits versucht die dateien zu deinstallieren bzw. sie zu entfernen, jedoch sind sie nach einem neustart wieder vorhanden...

zusätzlich bekomm ich regelmäßig eine fehlermeldung, die zwei fenster hab ich mal peer screenshot festgehalten!

Hallo,

bzgl. deinem Anliegen, empfehle ich dir einmal den Beitrag bzgl. Firmennetzwerk anzuschauen:
http://www.trojaner-board.de/37115-rundll32-exe-benoetigt-fast-100-cpu.html

Du kannst (zur Info) die Dateien z.B. bei
http://www.virustotal.com/en/indexf.html
scannen lassen.

Gruß
Oskar

also erstmal danke für den tip!
ich hab jetzt die dateien gescant so wie es mir empfohlen wurde, dabei wurde aber überhaupt nichts festgestellt!
mit dem anderen beitrag kann ich ehrlich gesagt nicht viel anfangen...
(ich hab leider erst in zwei wochen die möglichkeit unseren admin von der firma zu besuchen)

mir ist noch aufgefallen, dass ich bei jedem herunterfahren ein programm beenden muss!
kann jemand was mit sys.reg anfangen?
ausserdem hat sich ein internet dialer (del) bei mir installiert, der sich ebenfalls nicht löschen lässt, hat der damit was zu tun oder ist das ein extra thema?

Hallo,

hast du auch einen kompletten scan gemacht?
Bitte poste dann die Scanergebnisse.

Gruß
Oskar

...was meinst du mit komplett?
ich hab zuerst mal die drei dateien gesendet, und somit scannen lassen. bei den ergebnissen stand jedesmal "no virus found". (warum sollte ich das posten?)
jetzt hab ich mir diesen dialer mal rausgesucht und noch weitere dateien die mir irgendwie komisch vorkamen und dann auch die durch den scanner geschickt. hier die ergebnisse:

Complete scanning result of "del.exe", received in VirusTotal at 03.17.2007, 16:41:40 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.17.0 03.16.2007 no virus found
AntiVir 7.3.1.43 03.17.2007 TR/Dialer.FN.5
Authentium 4.93.8 03.17.2007 W32/Dialer.DCM
Avast 4.7.936.0 03.16.2007 no virus found
AVG 7.5.0.447 03.17.2007 Dialer.DKS
BitDefender 7.2 03.17.2007 Dialer.Delsim.B
CAT-QuickHeal 9.00 03.15.2007 Trojan.Dialer.fn
ClamAV 0.90.1 03.17.2007 no virus found
DrWeb 4.33 03.17.2007 Dialer.Splendo
eSafe 7.0.14.0 03.16.2007 no virus found
eTrust-Vet 30.6.3486 03.16.2007 no virus found
Ewido 4.0 03.17.2007 Trojan.Dialer.fn
FileAdvisor 1 03.17.2007 no virus found
Fortinet 2.85.0.0 03.17.2007 Dial/315
F-Prot 4.3.1.45 03.17.2007 W32/Dialer.DCM
F-Secure 6.70.13030.0 03.16.2007 Trojan.Win32.Dialer.fn
Ikarus T3.1.1.3 03.17.2007 Trojan.Win32.Dialer.fn
Kaspersky 4.0.2.24 03.17.2007 Trojan.Win32.Dialer.fn
McAfee 4986 03.16.2007 potentially unwanted program Dialer-315
Microsoft 1.2306 03.17.2007 no virus found
NOD32v2 2123 03.17.2007 no virus found
Norman 5.80.02 03.16.2007 W32/Dialer.BECD
Panda 9.0.0.4 03.17.2007 no virus found
Prevx1 V2 03.17.2007 no virus found
Sophos 4.15.0 03.13.2007 no virus found
Sunbelt 2.2.907.0 03.16.2007 Trojan.Win32.Dialer.fn
Symantec 10 03.17.2007 Dialer.Trafficjam
TheHacker 6.1.6.076 03.15.2007 no virus found
UNA 1.83 03.16.2007 Trojan.Win32.Dialer.19FC
VBA32 3.11.2 03.16.2007 Dialer.Splendo
VirusBuster 4.3.7:9 03.17.2007 no virus found


Complete scanning result of "dkrbp.exe", received in VirusTotal at 03.17.2007, 16:41:40 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.17.0 03.16.2007 Win-Trojan/ProcKill.1024
AntiVir 7.3.1.43 03.17.2007 TR/Zapchast.CP
Authentium 4.93.8 03.17.2007 W32/Rootkit.IU
Avast 4.7.936.0 03.16.2007 Win32:Trojan-gen. {Other}
AVG 7.5.0.447 03.17.2007 Collected.Z
BitDefender 7.2 03.17.2007 Trojan.Spy.Sheriff.C
CAT-QuickHeal 9.00 03.15.2007 Trojan.Killav.DB
ClamAV 0.90.1 03.17.2007 no virus found
DrWeb 4.33 03.17.2007 no virus found
eSafe 7.0.14.0 03.16.2007 Win32.Pakes
eTrust-Vet 30.6.3486 03.16.2007 Win32/Dewnuttin.B
Ewido 4.0 03.17.2007 Trojan.ProcKill.DJ
FileAdvisor 1 03.17.2007 High threat detected
Fortinet 2.85.0.0 03.17.2007 W32/KillAV.3B84!tr
F-Prot 4.3.1.45 03.17.2007 W32/Rootkit.IU
F-Secure 6.70.13030.0 03.16.2007 Trojan.Win32.Zapchast.cp
Ikarus T3.1.1.3 03.17.2007 Trojan.Win32.Zapchast.cp
Kaspersky 4.0.2.24 03.17.2007 Trojan.Win32.Zapchast.cp
McAfee 4986 03.16.2007 potentially unwanted program ProcKill-DJ
Microsoft 1.2306 03.17.2007 Program:Win32/SpySheriff (threat-c)
NOD32v2 2123 03.17.2007 Win32/ProcKill.B
Norman 5.80.02 03.16.2007 W32/Tofger.CD
Panda 9.0.0.4 03.17.2007 Application/KillApp.A
Prevx1 V2 03.17.2007 Spyware.Free.Serials.Hijacker
Sophos 4.15.0 03.13.2007 no virus found
Sunbelt 2.2.907.0 03.16.2007 SpySheriff
Symantec 10 03.17.2007 no virus found
TheHacker 6.1.6.076 03.15.2007 Downloader/LA
UNA 1.83 03.16.2007 Trojan.Win32.KillAV.6CD8
VBA32 3.11.2 03.16.2007 TR.Killav.DB.2
VirusBuster 4.3.7:9 03.17.2007 no virus found


Complete scanning result of "fjii.exe", received in VirusTotal at 03.17.2007, 16:56:06 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.17.0 03.16.2007 Win-Trojan/ProcKill.1024
AntiVir 7.3.1.43 03.17.2007 TR/Zapchast.CP
Authentium 4.93.8 03.17.2007 W32/Rootkit.IU
Avast 4.7.936.0 03.16.2007 Win32:Trojan-gen. {Other}
AVG 7.5.0.447 03.17.2007 Collected.Z
BitDefender 7.2 03.17.2007 Trojan.Spy.Sheriff.C
CAT-QuickHeal 9.00 03.15.2007 Trojan.Killav.DB
ClamAV 0.90.1 03.17.2007 no virus found
DrWeb 4.33 03.17.2007 no virus found
eSafe 7.0.14.0 03.16.2007 Win32.Pakes
eTrust-Vet 30.6.3486 03.16.2007 Win32/Dewnuttin.B
Ewido 4.0 03.17.2007 Trojan.ProcKill.DJ
FileAdvisor 1 03.17.2007 High threat detected
Fortinet 2.85.0.0 03.17.2007 W32/KillAV.3B84!tr
F-Prot 4.3.1.45 03.17.2007 W32/Rootkit.IU
F-Secure 6.70.13030.0 03.16.2007 Trojan.Win32.Zapchast.cp
Ikarus T3.1.1.3 03.17.2007 Trojan.Win32.Zapchast.cp
Kaspersky 4.0.2.24 03.17.2007 Trojan.Win32.Zapchast.cp
McAfee 4986 03.16.2007 potentially unwanted program ProcKill-DJ
Microsoft 1.2306 03.17.2007 Program:Win32/SpySheriff (threat-c)
NOD32v2 2123 03.17.2007 Win32/ProcKill.B
Norman 5.80.02 03.16.2007 W32/Tofger.CD
Panda 9.0.0.4 03.17.2007 Application/KillApp.A
Prevx1 V2 03.17.2007 Spyware.Free.Serials.Hijacker
Sophos 4.15.0 03.13.2007 no virus found
Sunbelt 2.2.907.0 03.16.2007 SpySheriff
Symantec 10 03.17.2007 no virus found
TheHacker 6.1.6.076 03.15.2007 Downloader/LA
UNA 1.83 03.16.2007 Trojan.Win32.KillAV.6CD8
VBA32 3.11.2 03.16.2007 TR.Killav.DB.2
VirusBuster 4.3.7:9 03.17.2007 no virus found


Complete scanning result of "hlguy.exe", received in VirusTotal at 03.17.2007, 17:08:48 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.17.0 03.16.2007 Win-Trojan/ProcKill.1024
AntiVir 7.3.1.43 03.17.2007 TR/Zapchast.CP
Authentium 4.93.8 03.17.2007 W32/Rootkit.IU
Avast 4.7.936.0 03.16.2007 Win32:Trojan-gen. {Other}
AVG 7.5.0.447 03.17.2007 Collected.Z
BitDefender 7.2 03.17.2007 Trojan.Spy.Sheriff.C
CAT-QuickHeal 9.00 03.15.2007 Trojan.Killav.DB
ClamAV 0.90.1 03.17.2007 no virus found
DrWeb 4.33 03.17.2007 no virus found
eSafe 7.0.14.0 03.16.2007 Win32.Pakes
eTrust-Vet 30.6.3486 03.16.2007 Win32/Dewnuttin.B
Ewido 4.0 03.17.2007 Trojan.ProcKill.DJ
FileAdvisor 1 03.17.2007 High threat detected
Fortinet 2.85.0.0 03.17.2007 W32/KillAV.3B84!tr
F-Prot 4.3.1.45 03.17.2007 W32/Rootkit.IU
F-Secure 6.70.13030.0 03.16.2007 Trojan.Win32.Zapchast.cp
Ikarus T3.1.1.3 03.17.2007 Trojan.Win32.Zapchast.cp
Kaspersky 4.0.2.24 03.17.2007 Trojan.Win32.Zapchast.cp
McAfee 4986 03.16.2007 potentially unwanted program ProcKill-DJ
Microsoft 1.2306 03.17.2007 Program:Win32/SpySheriff (threat-c)
NOD32v2 2123 03.17.2007 Win32/ProcKill.B
Norman 5.80.02 03.16.2007 W32/Tofger.CD
Panda 9.0.0.4 03.17.2007 Application/KillApp.A
Prevx1 V2 03.17.2007 Spyware.Free.Serials.Hijacker
Sophos 4.15.0 03.13.2007 no virus found
Sunbelt 2.2.907.0 03.16.2007 SpySheriff
Symantec 10 03.17.2007 no virus found
TheHacker 6.1.6.076 03.15.2007 Downloader/LA
UNA 1.83 03.16.2007 Trojan.Win32.KillAV.6CD8
VBA32 3.11.2 03.16.2007 TR.Killav.DB.2
VirusBuster 4.3.7:9 03.17.2007 no virus found


Complete scanning result of "kqhfqbty.exe", received in VirusTotal at 03.17.2007, 17:28:07 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.17.0 03.16.2007 no virus found
AntiVir 7.3.1.43 03.17.2007 TR/Bloodhound.1.A
Authentium 4.93.8 03.17.2007 W32/Downloader.BDVJ
Avast 4.7.936.0 03.16.2007 Win32:Agent-AIV
AVG 7.5.0.447 03.17.2007 Downloader.Generic3.JMI
BitDefender 7.2 03.17.2007 Trojan.PWS.LdPinch.BI
CAT-QuickHeal 9.00 03.15.2007 TrojanDownloader.Vidlo.ab
ClamAV 0.90.1 03.17.2007 Trojan.Downloader-2847
DrWeb 4.33 03.17.2007 Trojan.PWS.LDPinch.647
eSafe 7.0.14.0 03.16.2007 Win32.Vidlo.ab
eTrust-Vet 30.6.3486 03.16.2007 Win32/Mysden.A
Ewido 4.0 03.17.2007 Downloader.Vidlo.ab
FileAdvisor 1 03.17.2007 no virus found
Fortinet 2.85.0.0 03.17.2007 W32/Haxdor.AB!tr.dldr
F-Prot 4.3.1.45 03.17.2007 W32/Downloader.BDVJ
F-Secure 6.70.13030.0 03.16.2007 Trojan-Downloader.Win32.Vidlo.ab
Ikarus T3.1.1.3 03.17.2007 Trojan-PWS.Win32.PdPinch.BS
Kaspersky 4.0.2.24 03.17.2007 Trojan-Downloader.Win32.Vidlo.ab
McAfee 4986 03.16.2007 no virus found
Microsoft 1.2306 03.17.2007 TrojanDownloader:Win32/Agentsmall
NOD32v2 2123 03.17.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 03.16.2007 W32/Vidlo.CH
Panda 9.0.0.4 03.17.2007 Bck/HacDef.GJ
Prevx1 V2 03.17.2007 no virus found
Sophos 4.15.0 03.13.2007 Troj/Haxdor-Gen
Sunbelt 2.2.907.0 03.16.2007 Trojan-Downloader.Win32.Vidlo.ab
Symantec 10 03.17.2007 Downloader
TheHacker 6.1.6.076 03.15.2007 Trojan/Downloader.Vidlo.ab
UNA 1.83 03.16.2007 TrojanDownloader.Win32.Vidlo.D15E
VBA32 3.11.2 03.16.2007 MalwareScope.Trojan-PSW.Pinch.1
VirusBuster 4.3.7:9 03.17.2007 no virus found

Hi,

der weiter oben verlinkte Beitrag sollte darauf aufmerksam machen, daß OfficeScan den eigentlichen Scanprozess mit einem zufällig gewählten Namen aus dem Temp-Ordner startet. Eine gute Idee, so ist er über seinen Namen nicht angreifbar. Das heißt aber nicht, daß jeder Prozess gestartet aus einem Temp-Ordner mit zufälligem Namen jetzt ok ist. Wenn ich mir die Ergebnisse deiner Onlinescans ansehe: 4 Dateien, die von fast allen Scannern erkannt werden, dann stellt sich die Frage ob dein installierter Virenscanner nicht schon längst ausgehebelt ist. Die drei Dateinamen aus deinem ersten Beitrag bei Google eingegeben ergeben auch klar, daß sie richtig schlecht sind.

Dumm, daß man nicht mehr über dein System weiß. Zumindestens ein HijackThis Log würde einen gewissen Überblick geben. Da das ein Firmennotebook ist, mit dem Du deinem Job nachgehst und deine Kunden ein Recht darauf haben, daß von deinem Werkzeug keine Gefahr für ihr Netz ausgeht (sonst sind sie die längste Zeit Kunden gewesen, jedenfalls deine), solltest Du das Teil formatieren und neu installieren, sollte bis Montag zu schaffen sein.

Üblicherweise sind es Amateure, die wochenlang an irgendwelchen Reinigungsversuchen herumfrickeln, weil sie (fälschlicherweise) meinen, daß eine Neuinstallation schwierig wäre. Die Profis, mit denen ich zu tun habe (zähle selber leider nicht dazu), wissen aber, daß die Neuinstallation das einfachste und schnellste ist, dazu der einzige Weg, der eine Garantie auf ein nicht korrumpiertes System darstellt.

Gruß, Karl

servus,

ich möchte mich nochmal bedanken für die unterstützung.
auch wenn mir letztendlich nichts anderes übrig geblieben ist als des ganze system neu aufzusetzen....

greez