Hilfe! Trojaner vbsys2.dll

[handwerker]

Hallo!

Norton AntiVirus hat mir einen Trojaner in C:\WINDOWS\System32\vbsys2.dll gemeldet, der sich nicht entfernen lässt. Nach einem Scan hat ihn Norton dann isoliert. Was kann oder muss ich jetzt tun? Bin ein ziemlicher EDV-Laie, habe aber schon mal ein aktuelles hijack erstellt. Ich könnte wirklich Hilfe gebrauchen!

es grüßt,
der handwerker

Code:

Logfile of HijackThis v1.99.1
Scan saved at 12:27:06, on 18.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\WINDOWS\System32\cbpopw.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Steganos Internet Trace Destructor 7\ITD7.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.ex e
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMAIN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccLgView.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Dokumente und Einstellungen\jw\Desktop\hijackthis_199\HijackThis .exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/jw/Eigene%20Dateien/fvojw2.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Desktop Search Capture - {7c1ce531-09e9-4fc5-9803-1c2956615786} - C:\Programme\Google\Google Desktop Search\GoogleDesktopIE.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programme\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe"
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [CallBumping] cbpopw.exe
O4 - HKLM\..\Run: [CopernicPerUserTaskMgr] "C:\WINDOWS\system32\CopernicPerUserTaskMgr.exe" /run
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunOnce: [CopernicPerUserTaskMgr] "C:\WINDOWS\system32\CopernicPerUserTaskMgr.exe" /runonce
O4 - HKCU\..\Run: [Symantec Network Driver Update Warning] C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
O4 - HKCU\..\Run: [Ubts] C:\Dokumente und Einstellungen\jw\Anwendungsdaten\ocpa.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [ITD7] "C:\Programme\Steganos Internet Trace Destructor 7\ITD7.exe" -boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Suchen mit Copernic Agent - C:\Programme\Copernic Agent\Web\SearchExt.htm
O8 - Extra context menu item: Zusammenfassen mit Copernic Summarizer - C:\Programme\Copernic Summarizer\Web\SummarizePage.htm
O9 - Extra button: Zusammenfassen - {0F2D17A0-E7DF-4847-995B-6F3ABF5BF187} - C:\PROGRA~1\COPERN~2\COPERN~2.DLL
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Starten von Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: LiveSummarizer - {6170AB22-F1E5-4D4F-8F6C-826C73838581} - C:\Programme\Copernic Summarizer\CopernicSummarizerApp.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: (no name) - {B533C4C2-3FE2-4728-8661-AC93DF5D35A2} - C:\PROGRA~1\COPERN~2\COPERN~2.DLL
O9 - Extra 'Tools' menuitem: Zusammenfassen mit Copernic Summarizer - {B533C4C2-3FE2-4728-8661-AC93DF5D35A2} - C:\PROGRA~1\COPERN~2\COPERN~2.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {09954582-CAC3-4E05-A09C-4955BBD3187F} (Privat-X Client) - http://www.px24.com/ax/px_client_en.cab
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - http://secure2.comned.com/signuptem...iveSekurity.cab
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://69.31.87.70/1/deaDE48.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?lin...738&clcid=0x409
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yah...nst20040510.cab
O16 - DPF: {486612EA-4266-4B0B-997B-E90EB7D2E2D0} (UltraCams Lite Client Panel Control) - http://ultrabucks.ultracams.de/de/c...lientLite11.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/09f33e2fc31a84...RdxIE601_de.cab
O16 - DPF: {63CC1949-2404-471B-8A77-85D88F59ACC7} (UltraCams Client Panel Control) - http://ultrabucks.ultracams.de/de/c...amsClient11.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptem...iveSecurity.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://www.pussyharem.com/stream/mmp.cab
O16 - DPF: {B2C5C996-F1B2-4373-9823-74D9072615E6} (Privat-X Client) - http://download.privat-x.com/px_client.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/m...pdownloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B18F070-AED8-4541-9369-2C8C63D04E7E}: NameServer = 217.237.148.33 217.237.151.225
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

[Ruby]

Hallo Handwerker

1
kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

2
Lade bitte diese Datei zur Analyse hoch

C:\WINDOWS\System32\cbpopw.exe

-> Upload malicious software

Melde dich und lass uns wissen, ob der Upload funktioniert hat.

3
Scanne diese Dateien

C:\WINDOWS\System32\cbpopw.exe
C:\Dokumente und Einstellungen\jw\Anwendungsdaten\ocpa.exe
C:\Programme\Copernic Summarizer\CopernicSummarizerApp.dll
C:\PROGRA~1\COPERN~2\COPERN~2.DLL

bei Virustotal und Jotti

4
Teile uns >>alle Ergebnisse mittels copy&paste<< mit.

Dein System ist sehr stark verseucht, durch Adware, Viren und einiges mehr.

5
Beende im Tasmanager:

szchost.exe

6
Boote in den abgesicherten Modus.

7
Schliesse alle Programme einschliesslich Internet Explorer.
Lass Hijackthis laufen,

8
Lass Hijackthis laufen,
klick scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:

O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe
O16 - DPF: {09954582-CAC3-4E05-A09C-4955BBD3187F} (Privat-X Client) - hzzp://www.px24.com/ax/px_client_en.cab
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - hzzp://secure2.comned.com/signuptem...iveSekurity.cab
O16 - DPF: {11111111-1111-1111-1111-111111111237} - hzzp://69.31.87.70/1/deaDE48.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - hzzp://us.dl1.yimg.com/download.yah...nst20040510.cab
O16 - DPF: {486612EA-4266-4B0B-997B-E90EB7D2E2D0} (UltraCams Lite Client Panel Control) - hzzp://ultrabucks.ultracams.de/de/c...lientLite11.cab
O16 - DPF: {63CC1949-2404-471B-8A77-85D88F59ACC7} (UltraCams Client Panel Control) - hzzp://ultrabucks.ultracams.de/de/c...amsClient11.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - hzzp://secure2.comned.com/signuptem...iveSecurity.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - hzzp://www.pussyharem.com/stream/mmp.cab
O16 - DPF: {B2C5C996-F1B2-4373-9823-74D9072615E6} (Privat-X Client) - hzzp://download.privat-x.com/px_client.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - hzzp://www.live365.com/players/play365.cab

Drücke auf den Fix Button.
Beende das Programm HijackThis.

9
Loesche mit dem Windows Explorer:
C:\WINDOWS\szchost.exe

10
Boote in den normalen Modus

...und komm so schnell wie moeglich mit den angeforderten Informationen
und einem neuen HijackThis Logfile zur weiteren Reinigung zurück.

-----------------------
Lade RegistryProt runter,
lass es im Autostart mitlaufen.
Es handelt sich dabei um ein Wächterprogramm, das um Genehmigung fragt,
wann immer sich ein Programm ein- oder zuschalten will.

Bitte bis zu einer eventuellen Reinigung oder dem Formatieren deines Systems
kein Online-Banking, File-sharing, Mailing, Messaging betreiben.
Keine Up und Downloads, ausser auf Security Seiten.
Mehr Information hierzu unter "System-Pflege" (meine Signatur).
-----------------------

[handwerker]

Hallo Ruby,
danke für die schnelle Antwort. Bin jetzt dran. Also:
Der Upload von C:\WINDOWS\System32\cbpopw.exe hat schon mal geklappt.

[Ruby]

danke @ Handwerker
Melde dich bitte auch mit den anderen Ergebnissen.

[handwerker]

Hier die Scan-Ergebnisse aus dem 3. Schritt:

C:\WINDOWS\System32\cbpopw.exe
Virustotal: No virus found
Jotti:No virus found


Dokumente und Einstellungen\jw\Anwendungsdaten\ocpa.exe
Ich kann ocpa.exe in diesem Ordner nicht entdecken, auch nicht mit der Suchfunktion von Windows Explorer.


C:\Programme\Copernic Summarizer\CopernicSummarizerApp.dll
Virustotal: No virus found
Jotti: No virus found


C:\PROGRA~1\COPERN~2\COPERN~2.DLL
Virustotal: No virus found
Jotti: No virus found


szchost.exe: finde ich im Taskmanager nicht, nur svchost.exe.

Was soll ich jetzt machen? Weiter mit Schritt 6, Booten im abgesicherten Modus?

[Ruby]

Hallo Handwerker,

gewoehne dir bitte an, richtig und gut zu lesen.
Teile uns >>alle Ergebnisse mittels copy&paste<< mit das bedeutet, wir wollen jedes einzelne Ergebnis kopiert sehen!

Es sieht dann so aus:

Code:

Datei:  LBTServ.dll  
Status:  OK  
Entdeckte Packprogramme:  - 
   
AntiVir  Keine Viren gefunden 
ArcaVir  Keine Viren gefunden 
Avast  Keine Viren gefunden 
AVG Antivirus  Keine Viren gefunden 
BitDefender  Keine Viren gefunden 
ClamAV  Keine Viren gefunden 
Dr.Web  Keine Viren gefunden 
F-Prot Antivirus  Keine Viren gefunden 
Fortinet  Keine Viren gefunden 
Kaspersky Anti-Virus  Keine Viren gefunden 
NOD32  Keine Viren gefunden 
Norman Virus Control  Keine Viren gefunden 
UNA  Keine Viren gefunden 
VBA32  Keine Viren gefunden

Bitte nachholen!

[handwerker]

Hallo Ruby,

sorry und noch einmal:

C:\WINDOWS\System32\cbpopw.exe
Virustotal

Code:

This is a report processed by VirusTotal on 08/18/2005 at 14:23:35 (CET) after scanning the file "cbpopw.exe" file.
Antivirus Version Update Result 
AntiVir 6.31.1.0 08.18.2005 no virus found 
Avast 4.6.695.0 08.17.2005 no virus found 
AVG 718 08.17.2005 no virus found 
Avira 6.31.1.0 08.18.2005 no virus found 
BitDefender 7.0 08.18.2005 no virus found 
CAT-QuickHeal 7.03 08.18.2005 no virus found 
ClamAV devel-20050725 08.18.2005 no virus found 
DrWeb 4.32b 08.18.2005 no virus found 
eTrust-Iris 7.1.194.0 08.17.2005 no virus found 
eTrust-Vet 11.9.1.0 08.18.2005 no virus found 
Fortinet 2.41.0.0 08.18.2005 no virus found 
F-Prot 3.16c 08.17.2005 no virus found 
Ikarus 0.2.59.0 08.17.2005 no virus found 
Kaspersky 4.0.2.24 08.18.2005 no virus found 
McAfee 4561 08.17.2005 no virus found 
NOD32v2 1.1196 08.17.2005 no virus found 
Norman 5.70.10 08.17.2005 no virus found 
Panda 8.02.00 08.17.2005 no virus found 
Sophos 3.96.0 08.18.2005 no virus found 
Sybari 7.5.1314 08.18.2005 no virus found 
Symantec 8.0 08.18.2005 no virus found 
TheHacker 5.8.2.091 08.18.2005 no virus found 
VBA32 3.10.4 08.17.2005 no virus found

Jotti:

Code:

Datei:  cbpopw.exe  
Status:  OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)  
Entdeckte Packprogramme:  - 
   
AntiVir  Keine Viren gefunden 
ArcaVir  Keine Viren gefunden 
Avast  Keine Viren gefunden 
AVG Antivirus  Keine Viren gefunden 
BitDefender  Keine Viren gefunden 
ClamAV  Keine Viren gefunden 
Dr.Web  Keine Viren gefunden 
F-Prot Antivirus  Keine Viren gefunden 
Fortinet  Keine Viren gefunden 
Kaspersky Anti-Virus  Keine Viren gefunden 
NOD32  Keine Viren gefunden 
Norman Virus Control  Keine Viren gefunden 
UNA  Keine Viren gefunden 
VBA32  Keine Viren gefunden

C:\Programme\Copernic Summarizer\CopernicSummarizerApp.dll
Virustotal

Code:

This is a report processed by VirusTotal on 08/18/2005 at 14:31:01 (CET) after scanning the file "CopernicSummarizerApp.dll" file.
Antivirus Version Update Result 
AntiVir 6.31.1.0 08.18.2005 no virus found 
Avast 4.6.695.0 08.17.2005 no virus found 
AVG 718 08.17.2005 no virus found 
Avira 6.31.1.0 08.18.2005 no virus found 
BitDefender 7.0 08.18.2005 no virus found 
CAT-QuickHeal 7.03 08.18.2005 no virus found 
ClamAV devel-20050725 08.18.2005 no virus found 
DrWeb 4.32b 08.18.2005 no virus found 
eTrust-Iris 7.1.194.0 08.17.2005 no virus found 
eTrust-Vet 11.9.1.0 08.18.2005 no virus found 
Fortinet 2.41.0.0 08.18.2005 no virus found 
F-Prot 3.16c 08.17.2005 no virus found 
Ikarus 0.2.59.0 08.17.2005 no virus found 
Kaspersky 4.0.2.24 08.18.2005 no virus found 
McAfee 4561 08.17.2005 no virus found 
NOD32v2 1.1196 08.17.2005 no virus found 
Norman 5.70.10 08.17.2005 no virus found 
Panda 8.02.00 08.17.2005 no virus found 
Sophos 3.96.0 08.18.2005 no virus found 
Sybari 7.5.1314 08.18.2005 no virus found 
Symantec 8.0 08.18.2005 no virus found 
TheHacker 5.8.2.091 08.18.2005 no virus found 
VBA32 3.10.4 08.17.2005 no virus found

Jotti:

Code:

Datei:  CopernicSummarizerApp.dll  
Status:  OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)  
Entdeckte Packprogramme:  - 
   
AntiVir  Keine Viren gefunden 
ArcaVir  Keine Viren gefunden 
Avast  Keine Viren gefunden 
AVG Antivirus  Keine Viren gefunden 
BitDefender  Keine Viren gefunden 
ClamAV  Keine Viren gefunden 
Dr.Web  Keine Viren gefunden 
F-Prot Antivirus  Keine Viren gefunden 
Fortinet  Keine Viren gefunden 
Kaspersky Anti-Virus  Keine Viren gefunden 
NOD32  Keine Viren gefunden 
Norman Virus Control  Keine Viren gefunden 
UNA  Keine Viren gefunden 
VBA32  Keine Viren gefunden

C:\PROGRA~1\COPERN~2\COPERN~2.DLL
Virustotal

Code:

This is a report processed by VirusTotal on 08/18/2005 at 14:33:52 (CET) after scanning the file "COPERN_2.DLL" file.
Antivirus Version Update Result 
AntiVir 6.31.1.0 08.18.2005 no virus found 
Avast 4.6.695.0 08.17.2005 no virus found 
AVG 718 08.17.2005 no virus found 
Avira 6.31.1.0 08.18.2005 no virus found 
BitDefender 7.0 08.18.2005 no virus found 
CAT-QuickHeal 7.03 08.18.2005 no virus found 
ClamAV devel-20050725 08.18.2005 no virus found 
DrWeb 4.32b 08.18.2005 no virus found 
eTrust-Iris 7.1.194.0 08.17.2005 no virus found 
eTrust-Vet 11.9.1.0 08.18.2005 no virus found 
Fortinet 2.41.0.0 08.18.2005 no virus found 
F-Prot 3.16c 08.17.2005 no virus found 
Ikarus 0.2.59.0 08.17.2005 no virus found 
Kaspersky 4.0.2.24 08.18.2005 no virus found 
McAfee 4561 08.17.2005 no virus found 
NOD32v2 1.1196 08.17.2005 no virus found 
Norman 5.70.10 08.17.2005 no virus found 
Panda 8.02.00 08.17.2005 no virus found 
Sophos 3.96.0 08.18.2005 no virus found 
Sybari 7.5.1314 08.18.2005 no virus found 
Symantec 8.0 08.18.2005 no virus found 
TheHacker 5.8.2.091 08.18.2005 no virus found 
VBA32 3.10.4 08.17.2005 no virus found

Jotti:

Code:

Datei:  COPERN~2.DLL  
Status:  OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)  
Entdeckte Packprogramme:  - 
   
AntiVir  Keine Viren gefunden 
ArcaVir  Keine Viren gefunden 
Avast  Keine Viren gefunden 
AVG Antivirus  Keine Viren gefunden 
BitDefender  Keine Viren gefunden 
ClamAV  Keine Viren gefunden 
Dr.Web  Keine Viren gefunden 
F-Prot Antivirus  Keine Viren gefunden 
Fortinet  Keine Viren gefunden 
Kaspersky Anti-Virus  Keine Viren gefunden 
NOD32  Keine Viren gefunden 
Norman Virus Control  Keine Viren gefunden 
UNA  Keine Viren gefunden 
VBA32  Keine Viren gefunden

C:\Dokumente und Einstellungen\jw\Anwendungsdaten\ocpa.exe
Wie gesagt: nicht gefunden. Ich erinnere mich aber schwach daran, dass ich mal Ende 2004 eine von Norton als AdWare (glaub ich) identifizierte Datei dieses Namens hatte, die Norton nicht entfernen konnte, die ich aber irgendwie anders aus dem Ordner gelöscht habe.

Soweit bin ich also, wie gesagt szchost.exe im Taskmanager nicht gefunden. Was nun, Ruby?

Grüße
handwerker

[Ruby]

@ Handwerker

danke fuer die genaue Antwort. Ich kanns kaum glauben, dass diese Dateien in Ordnung sein sollen....

Lade bitte diese Dateien ebenfalls zur Analyse hoch
-> Upload malicious software

C:\Dokumente und Einstellungen\jw\Anwendungsdaten\ocpa.exe
C:\Programme\Copernic Summarizer\CopernicSummarizerApp.dll
C:\PROGRA~1\COPERN~2\COPERN~2.DLL

Hast du den Rest bereits abgearbeitet? Bitte ein neues HijackThis Logfile in vB Code posten. Danke.

[handwerker]

@ Ruby
zwei Dateien habe ich unter malicius hochgeladen. Diese Copernic-Dateien könnten zu einem Programm Copernicus Summarizer gehören, eine Software zum Zusammenfassen von Texten.

Die ocpa.exe kann ich wie gesagt auf dem Rechner nicht finden (siehe oben, ich glaube, die habe ich mal von Hand gelöscht, weil Norton sie als potenzielle Bedrohung erkannt hatte und nicht entfernen konnte).

Jetzt mache ich mit den anderen Punkten weiter.

Muss um 16 Uhr mal für ne halbe Stunde weg, melde mich dann wieder.

Und noch mal: vielen Dank für Deine Hilfe.
Grüße
Handwerker

[Ruby]

@ Handwerker

was wären Helfer ohne Hilfesuchende?
Wo kämen wir denn hin, wenn wir aufeinmal nicht mehr gebraucht würden, weil alle Bescheid wissen? Ausserdem lernen wir an euch .. wir muessen euch nämlich antworten, das heisst wir müssen fortwährend lernen, ausser jene von uns, die wirkliche Asse auf diesem Gebiet sind.

Bis später, Handwerker