Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner "TR/Spy.VB.eh.3" von AntiVir gefunden (https://www.trojaner-board.de/16800-trojaner-tr-spy-vb-eh-3-antivir-gefunden.html)

Behne 18.04.2005 13:59
Trojaner "TR/Spy.VB.eh.3" von AntiVir gefunden
 
Moin allerseits,

seit einigen Tagen meldet sich AntiVir unmittelbar nachdem Windows fertiggeladen hat mit ner Trojaner-Meldung bezüglich "TR/Spy.VB.eh.3".

Hab gerade mal danach gegoogelt, konnte aber leider keine hilfreichen Infos finden, die mir beim Beseitigen helfen.

Interessant ist vielleicht noch die Tatsache, dass sich die Meldung vermehrfacht aht. Anfangs musste ich das Ding zweimal löschen, nun sinds bereits 6mal gewesen.

Ich hoffe irgendwer kann mir dabei helfen. Wäre sehr dankbar dafür.

Hab irgendwo aufgeschnappt, dass nen HiJack-Scan sinvoll wär:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 15:00:49, on 18.04.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\acsxoc.exe
C:\WINDOWS\System32\internat.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\acsxoc.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\wlm.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\System32\wuauclt.exe
c:\windows\system32\mksc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\BENJAM~1\LOKALE~1\Temp\Rar$EX01.750\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing)
O2 - BHO: C:\WINDOWS\lbbho.dll - {C46B457B-720D-451E-AB81-D3A509712625} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: iMesh Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [acsxoc] C:\WINDOWS\System32\acsxoc.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [acsxoc] C:\WINDOWS\System32\acsxoc.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\wlm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'osmim.dll' missing
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FFFFFFFF-3C18-4A7E-A29D-E24F84B79BF1} - http://64.7.220.98/downloads/pi1_20.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

gary 18.04.2005 14:40
Könnte eventuell hiermit Familie sein http://www.sophos.de/virusinfo/analyses/trojvbeg.html

rock 18.04.2005 14:55
das fixen!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing)
O2 - BHO: C:\WINDOWS\lbbho.dll - {C46B457B-720D-451E-AB81-D3A509712625} - C:\WINDOWS\lbbho.dll

O16 - DPF: {FFFFFFFF-3C18-4A7E-A29D-E24F84B79BF1} - http://64.7.220.98/downloads/pi1_20.exe

___________
den rechner in den abgesicherten smodus tarten, temporäre internetfiles incl.offlineinhalte löschen, Ordner TEMP leeren/papierkorb leeren UND nochmals mit dem virenscanner die festplatte checken.

ausserdem AntiVir und AVG zusammen aktiv ist nicht gut! Ein scanner soll deaktiviert sein!

dartus 18.04.2005 16:45
Hallo,

diese Einträge ebenfalls fixen:
O4 - HKCU\..\Run: [acsxoc] C:\WINDOWS\System32\acsxoc.exe
O4 - HKCU\..\RunOnce: [acsxoc] C:\WINDOWS\System32\acsxoc.exe

und die Datei im abgesicherten Modus löschen (fixen alle reicht nicht).

dartus

rock 18.04.2005 17:03
haben sogar noch etwas übersehen:

O3 - Toolbar: iMesh Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL

:dummguck:

Behne 28.04.2005 22:50
So, bin grad ausm Urlaub zurück gekommen und hab daher erst jetzt gesehen, was ihr zu meinem prob meint. Für eure Hilfe schonmal vielen dank... Ich werde am Wochenende mal anfangen, klar schiff zu machen...

vorher sind da aber noch ein paar Fragen:

Zitat:
ausserdem AntiVir und AVG zusammen aktiv ist nicht gut! Ein scanner soll deaktiviert sein!
HÄ? Hab doch nur den AVG (falls du damit den antivir guide meinst) offen (im autostart) und der isses meines erachtens auch, der den trojaner jedes mal findet. sind doch eh keine verschiedenen virenscanner oder?


Zitat:
Hallo,

diese Einträge ebenfalls fixen:
O4 - HKCU\..\Run: [acsxoc] C:\WINDOWS\System32\acsxoc.exe
O4 - HKCU\..\RunOnce: [acsxoc] C:\WINDOWS\System32\acsxoc.exe

und die Datei im abgesicherten Modus löschen (fixen alle reicht nicht).

dartus
Was macht die Datei denn böses? Hängt die mit dem Trojaner zusammen?


Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/
Wieso das? Ist das nicht nur da, weil ich das als Startseite eigestellt hab? (hab nen lokalen apache laufen und daher ist das so ganz praktisch)

So, wär cool, wenn ihr mir nochma mit Rat zur Seite stehen könntet...

Greetz Behne


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131