Trojaner-Board - Windows 2000 Pro Bhoassui.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows 2000 Pro Bhoassui.exe (https://www.trojaner-board.de/16615-windows-2000-pro-bhoassui-exe.html)

Windows 2000 Pro Bhoassui.exe

Kann irgendjemand etwas mit dieser Anwendung anfangen? Bei jedem Systemstart befindet sich diese Anwendung erneut im Winnt Ordner zusammen mit der Datei bhoass.dll
Beide hatte ich gelöscht, sind aber nach jedem Systemstart wieder da.
Vom Virenscanner wird sie auch als befallene Datei erkannt und verschoben.

Verdächtigt auf: BehavesLike:Trojan.StartPage

Ich denke das ist auch der Außlöser für diese "about:blank" Geschichte bei meinem IE
Und laut Hijackthis wird dies beim scan angezeigt.
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll
Ich weiß da nicht mehr weiter.

Hallo,

um mehr Einblick auf dein System zu bekommen, solltest du auch uns ein HJT Log-File zur Verfügung stellen.

Die Bhoassui.exe und die C:\WINNT\bhoass.dll hast du gelöscht, oder?

Ebenso solltest du dies ausführen:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases_X -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Das wäre erstmal das HJT logfile

Logfile of HijackThis v1.99.1
Scan saved at 13:49:42, on 15.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP4 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\TASKMGRU.EXE
C:\WINNT\system32\MSIMN32.EXE
C:\WINNT\htpatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\TASKMGRU.EXE
C:\WINNT\system32\MSIMN32.EXE
C:\Programme\FRITZ!\IWatch.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Arcor
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TASKMGRU] C:\WINNT\system32\TASKMGRU.EXE
O4 - HKCU\..\Run: [MSIMN32] C:\WINNT\system32\MSIMN32.EXE
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O16 - DPF: {11111111-1111-1111-1111-111111111111} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{4902A7F5-0AAB-42EC-B676-50A6191BB150}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

die einträge RO und O2 erscheinen nach jedem Start vom IE neu. sowie die Datei bhoass.dll und bhoassui.exe auch wenn ich sie zuvor gelöscht hab.

Und hier die Virus Log Infos

Fri Apr 15 13:27:03 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Fri Apr 15 13:27:03 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Fri Apr 15 13:27:03 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:27:03 2005 => System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken.

Fri Apr 15 13:27:03 2005 => File System Found infected by "BlazeFind Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:27:03 2005 => System found infected with SahAgent Spyware/Adware ({4828C95F-C5DB-4AB6-A945-8D8EC44B98A8})! Action taken: No Action Taken.

Fri Apr 15 13:27:03 2005 => File System Found infected by "SahAgent Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:27:03 2005 => System found infected with SahAgent Spyware/Adware ({4E570F74-DEEE-4FCF-B960-FEEFA4B8C6FC})! Action taken: No Action Taken.

Fri Apr 15 13:27:03 2005 => File System Found infected by "SahAgent Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:27:05 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.

Fri Apr 15 13:27:05 2005 => File System Found infected by "WindUpdate Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:27:05 2005 => File C:\WINNT\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:27:07 2005 => File C:\WINNT\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:28:08 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kbhe.exe infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:28:08 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\load.hta infected by "Trojan-Downloader.JS.gen" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:39:10 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Fri Apr 15 13:39:10 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Fri Apr 15 13:39:10 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:39:10 2005 => System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken.
Fri Apr 15 13:39:10 2005 => File System Found infected by "BlazeFind Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:39:10 2005 => System found infected with SahAgent Spyware/Adware ({4828C95F-C5DB-4AB6-A945-8D8EC44B98A8})! Action taken: No Action Taken.
Fri Apr 15 13:39:10 2005 => File System Found infected by "SahAgent Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:39:10 2005 => System found infected with SahAgent Spyware/Adware ({4E570F74-DEEE-4FCF-B960-FEEFA4B8C6FC})! Action taken: No Action Taken.
Fri Apr 15 13:39:10 2005 => File System Found infected by "SahAgent Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:39:13 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.
Fri Apr 15 13:39:13 2005 => File System Found infected by "WindUpdate Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:39:13 2005 => File C:\WINNT\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:39:18 2005 => File C:\WINNT\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:41:14 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kbhe.exe infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:41:14 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\load.hta infected by "Trojan-Downloader.JS.gen" Virus. Action Taken: No Action Taken.

Fri Apr 15 13:26:56 2005 => File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Fri Apr 15 13:27:01 2005 => File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Fri Apr 15 13:27:08 2005 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Fri Apr 15 13:39:02 2005 => File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Fri Apr 15 13:39:20 2005 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

So, die Liste ist heftig. Ich hatte mit Bitdefender nicht so eine hohe trefferquote.