Trojaner-Board - Fehrlermeldung: bnis.mxo kann nicht geladen werden! wie entfer ich diesen Virus/Trojaner Rest?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Fehrlermeldung: bnis.mxo kann nicht geladen werden! wie entfer ich diesen Virus/Trojaner Rest? (https://www.trojaner-board.de/87409-fehrlermeldung-bnis-mxo-geladen-entfer-diesen-virus-trojaner-rest.html)

Fehrlermeldung: bnis.mxo kann nicht geladen werden! wie entfer ich diesen Virus/Trojaner Rest?

Hallo.
Ich hatte vor einiger Zeit das Problem das sich immer wieder ein Fenster geöffnet hat das so aussah wie ein Virenscanner der dazu aufgefordert hat etwas herunterzuladen um eine angeblich gefundene Malware zu entfernen. Ich habe darüber mal was in einer Zeitschrift gelesen und habe dann das Fenster meistens mit dem Task Manager über "Prozess beenden" geschlossen aber jedes mal wenn ich den Computer wieder hochgefahren hab hat sich das Fenster wieder geöffnet. Ich bin diesem Problem dann mit dem "Prozess Explorer" von Sysinternal auf die schliche gekommen. Der Trojaner/Virus hatte sich in explorer.exe eingenistet. Ich habe darauf hin zwei Autorun einträge mit "Autoruns" von Sysinternal gelöscht und die dazugehörigen Systemdateien mit einem Live-Linux durch neue von einem sauberen System ersetzt. Seit dem kommt immer diese Fehlermeldung die sich laut Process Explorer immer noch auf explorer.exe bezieht. Der Fake-Virenscanner kommt nicht mehr. Außerdem starten seit kurzem (nicht unmittelbar nach der Säuberungs- Aktion sondern erst so 2 Monate später) die Windowsdienste "Designs", "DHCP-Client" sowie "Windows Audio" manchmal nicht mehr Automatisch obwohl dies als Autostarttyp so festgelegt ist. Haben die Fehlermeldung und die sporadische "Arbeitsverweigerung" denselben Ursprung oder sind das zwei verschiedenen Angelegenheiten?
Falls nötig kann ich die Log-Daten von Malwarebytes-Anti-Malware nachreichen.

Mein System ist ein Win XP und wurde vor einem halben Jahr neu aufgesetzt.

Hallo,

poste bitte das Log von Malwarebytes.

der log sieht so aus

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

21.06.2010 11:38:59
mbam-log-2010-06-21 (11-38-59).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 150336
Laufzeit: 14 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\5ba54fdb.dll (Trojan.Vundo.H) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0fa25dc5-0803-9e2b-f5ff-61f0e14ffedd} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0fa25dc5-0803-9e2b-f5ff-61f0e14ffedd} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0fa25dc5-0803-9e2b-f5ff-61f0e14ffedd} (Trojan.Vundo.H) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99f06bf8-d1b9-a000-dfff-e5f6cdc48df5} (Adware.AdRotator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{99f06bf8-d1b9-a000-dfff-e5f6cdc48df5} (Adware.AdRotator) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\btjcitxvquaeyespp (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ewrgetuj (Worm.Prolaco.M) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe rundll32.exe bnis.mxo yfklng) Good: (Explorer.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\5ba54fdb.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\drivers\hxzlkbpi.sys (Rootkit.Agent) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\pdfupd.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\6.tmp (Trojan.Meredrop) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\rknfl.exe (Trojan.Zbot) -> No action taken.
C:\WINDOWS\Temp\ixns.tmp\svchost.exe (Adware.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\snyrvwpwrics.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> No action taken.

der Scan hat ja einiges Gefunden. Welche Werte müssen in den infizierten Reg-Werten eigentlich stehen und was mach ich mit den infizierten Schlüssel?
falls noch weiter informationen Fehlern werde ich auch diese noch Nachliefern

Zitat:

Datenbank Version: 4052

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

also jetzt noch mal die Logdatei

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4221

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

Der Internet Explorer ist stillgelegt und wird nicht Benutzt

21.06.2010 20:40:37
mbam-log-2010-06-21 (20-40-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 296202
Laufzeit: 45 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 17
Infizierte Registrierungswerte: 16
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 34

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\b3c51ff4 (Adware.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{99f06bf8-d1b9-a000-dfff-e5f6cdc48df5} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\lyntqszkhzmqninp (Adware.AdRotator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{99f06bf8-d1b9-a000-dfff-e5f6cdc48df5} (Adware.BHO) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0fa25dc5-0803-9e2b-f5ff-61f0e14ffedd} (Trojan.Vundo.H) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0fa25dc5-0803-9e2b-f5ff-61f0e14ffedd} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99f06bf8-d1b9-a000-dfff-e5f6cdc48df5} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0fa25dc5-0803-9e2b-f5ff-61f0e14ffedd} (Trojan.Vundo.H) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\serverportal2.81.1132.0.0804130852 (Rogue.DesktopSecurity2010) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msdaurlmsdatt2.81.1132.0.0804130852 (Rogue.DesktopSecurity2010) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\assg (Rogue.DesktopSecurity2010) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drmdyndatadownload (Rogue.DesktopSecurity2010) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drmdyndatatoolbar (Rogue.DesktopSecurity2010) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\toolbarconduit1003 (Rogue.DesktopSecurity2010) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\launcheradobe (Rogue.DesktopSecurity2010) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ests (Rogue.DesktopSecurity2010) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\officeoffice (Rogue.DesktopSecurity2010) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msencodedocument2003.1100.5510 (Rogue.DesktopSecurity2010) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drmdialogstoolbar (Rogue.DesktopSecurity2010) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\btjcitxvquaeyespp (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ewrgetuj (Worm.Prolaco.M) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\passviewmail (Rogue.DesktopSecurity2010) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\passviewpassview1.52 (Rogue.DesktopSecurity2010) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe rundll32.exe bnis.mxo yfklng) Good: (Explorer.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\5ba54fdb.dll (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3XSGIUE0\n002106204318r0007J10000601Reb4fe974Wfcf04c2aX7f779400Y3496fe36Z0100f0601[1] (Rootkit.TDSS.Gen) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G3KP1WF7\n002106204318r0007J10000601R89d2b80fW5029408dX840ea217Ycfd16920Z0100f0601[1] (Rootkit.TDSS.Gen) -> No action taken.
C:\WINDOWS\Temp\AsSg.exe (Rogue.DesktopSecurity2010) -> No action taken.
C:\Programme\Gemeinsame Dateien\System\WindowsBetriebssystem.exe (Rogue.DesktopSecurity2010) -> No action taken.
c:\programme\gemeinsame dateien\System\Ole DB\datamsdatt.exe (Rogue.DesktopSecurity2010) -> No action taken.
C:\Programme\Windows Media Player\Visualizations\WhiteCapWMPWhiteCapWMP.exe (Rogue.DesktopSecurity2010) -> No action taken.
C:\Programme\Windows NT\Zubehör\wordpadMicrosoft.exe (Rogue.DesktopSecurity2010) -> No action taken.
c:\programme\gemeinsame dateien\microsoft shared\web server extensions\60\BIN\convertersmsencode.exe (Rogue.DesktopSecurity2010) -> No action taken.
C:\WINDOWS\system32\b3c51ff4.exe (Adware.Agent) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\YMee.exe (Rogue.DesktopSecurity2010) -> No action taken.
c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\OLvI.exe (Rogue.DesktopSecurity2010) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\8HEF05MF\n002106204318r0007J10000601Rac6e9eb4W5029408dX840ebcc2Ycfd16920Z0100f0601[1] (Rootkit.TDSS.Gen) -> No action taken.
C:\WINDOWS\system32\drivers\hxzlkbpi.sys (Rootkit.Agent) -> No action taken.
c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\estS.exe (Rogue.DesktopSecurity2010) -> No action taken.
C:\WINDOWS\Temp\ixns.tmp\svchost.exe (Adware.Agent) -> No action taken.
H:\Spiele\Cod4\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911\rzr-cod4.exe (Trojan.Agent.CK) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\QGJM.exe (Rogue.AntiSpywareSoft) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\snyrvwpwrics.dll (Adware.BHO) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\cache\g_002D\opr016FT.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3XSGIUE0\n002106204318r0007J10000601R89d2b80fW5029408dX840ea217Ycfd16920Z0100f0600[1] (Rogue.DesktopSecurity2010) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\qPik.exe (Trojan.FraudPack) -> No action taken.
C:\WINDOWS\system32\lyntqszkhzmqninp.exe (Adware.AdRotator) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\GX23KHAV\n002106204318r0007J10000601Rac6e9eb4W5029408dX840ebcc2Ycfd16920Z0100f0600[1] (Rogue.DesktopSecurity2010) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3XSGIUE0\n002106204318r0007J10000601R38f38e0aWfcf04c2aXd14e2755Y9aaf5e44Z0100f0601[1] (Rootkit.TDSS.Gen) -> No action taken.
C:\WINDOWS\Temp\JKTS.exe (Rogue.AntiSpywareSoft) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W2GVAZM7\update[1].exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G3KP1WF7\n002106204318r0007J10000601Reb4fe974Wfcf04c2aX7f779400Y3496fe36Z0100f0600[1] (Trojan.FraudPack) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W2GVAZM7\n002106204318r0007J10000601R38f38e0aWfcf04c2aXd14e2755Y9aaf5e44Z0100f0600[1] (Rogue.AntiSpywareSoft) -> No action taken.
C:\Programme\Online-Dienste\verweisenweitere.exe (Rogue.DesktopSecurity2010) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJGYTZN7\update[1].exe (Spyware.Zbot) -> No action taken.

Zitat:

H:\Spiele\Cod4\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911\rzr-cod4.exe

Sry, Du hast Dich damit disqualifiziert :nixda:

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!