Fehlermeldung beim Start "Cbhd hat Fehler verursacht"

hmd608 · 05.08.2010, 08:35

Hallo Gemeinde,
diese Meldung erscheint nach und nach auf allen Rechnern auf denen ich mich einlogge. Im Ereignisprotokoll erscheint diese Fehlermeldung:

Fehlgeschlagene Anwendung msnmsgr.exe, Version 2.25.0.23, fehlgeschlagenes Modul , Version 0.0.0.0, Fehleradresse 0x00000000.

Die Anwendung findet man (nur auf den betroffenen Rechnern) unter C:\Windows\Install\MsnMsgr.exe. Sie läßt sich nicht entfernen.

Der McAfee Virenscanner findet nichts - Ad-Aware findet auch nichts.

Ich hoffe ihr könnt mir helfen

Hier mein HiJack Protokoll:
--------------------------------------------------------------------------

HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:06:15, on 05.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\program files\lotus\notes7.0.2\nslsvice.exe
C:\program files\lotus\notes7.0.2\nsl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Juniper Networks\Common Files\dsNcService.exe
C:\WINDOWS\system32\Empirum\EmpirumRCHost.exe
C:\Programme\Gemeinsame Dateien\GtFlashSwitch\GtFlashSwitch.exe
C:\Programme\Gemeinsame Dateien\Fujitsu\Manageability\HaMDevMg.exe\1.01\HaMDevMg.exe
C:\WINDOWS\system32\EMPIRUM\empautsvc.exe
C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe
c:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\mfevtps.exe
C:\program files\lotus\notes7.0.2\ntmulti.exe
C:\WINDOWS\system32\EMPIRUM\SetupSvc.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\system32\EMPIRUM\SwDepot.exe
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programme\McAfee\VirusScan Enterprise\mfeann.exe
c:\Programme\McAfee\Common Framework\naPrdMgr.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Fujitsu\Mobile Software Suite\Common\UiMdmTip\UiMdmTip.exe
C:\WINDOWS\install\MsnMsgr.exe
C:\WINDOWS\system32\Empirum\SWDepot.exe
C:\WINDOWS\install\MsnMsgr.exe
C:\Programme\McAfee\Common Framework\udaterui.exe
C:\WINDOWS\system32\rundll32.exe
c:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\Huawei Modems\DataCardMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Mobile\web'n'walk Manager\AutoUpdateSrv.exe
C:\WINDOWS\system32\EMPIRUM\PBackup.exe
C:\Programme\Gemeinsame Dateien\Fujitsu\Manageability\CnMdKHkH.exe\1.01\CnMdKHkH.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://vion-Line
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Vion IT Services
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.151.37:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 172.17.*.*;192.168.151.*;vion-line;*.intra;192.168.44.*;172.16.*.*;<local>
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: WebEx Productivity Tools - {90E2BA2E-DD1B-4cde-9134-7A8B86D33CA7} - c:\Programme\WebEx\Productivity Tools\ptonecli.dll
O3 - Toolbar: WebEx Productivity Tools - {90E2BA2E-DD1B-4cde-9134-7A8B86D33CA7} - c:\Programme\WebEx\Productivity Tools\ptonecli.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [COMImpersonator] C:\Programme\Fujitsu\Mobile Software Suite\Common\UiMdmTip\UiMdmTip.exe
O4 - HKLM\..\Run: [_UserEnv] C:\WINDOWS\system32\EMPIRUM\env.exe
O4 - HKLM\..\Run: [RunSWDepot1] SWDEPOT /WU /S /T /Q
O4 - HKLM\..\Run: [RunSWDepot2] SWDEPOT \\%EmpirumServer%\Configurator$\User\SwDepot.dds /I\\%EmpirumServer%\Values$\MachineValues\%DomainName%\%Computername%.ddc /I\\%EmpirumServer%\Values$\UserValues\%UserDomain%\%UserName%.ddc /S /E /F /K7200 /Z2
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "c:\Programme\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ShStatEXE] "c:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [DataCardMonitor] C:\Programme\Huawei Modems\DataCardMonitor.exe
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\install\MsnMsgr.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\install\MsnMsgr.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\install\MsnMsgr.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\install\MsnMsgr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1085031214-790525478-682003330-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'EmpInstWs')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Aktualisierungsagent.lnk = ?
O4 - Global Startup: Inventory.lnk = C:\WINDOWS\system32\EMPIRUM\EmpInventory.exe
O4 - Global Startup: Personal Backup.lnk = C:\WINDOWS\system32\EMPIRUM\PBackup.exe
O8 - Extra context menu item: An OneNote s&enden - res:///105
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://vion-Line
O16 - DPF: {CAFECAFE-0013-0001-0028-ABCDEFABCDEF} (JInitiator 1.3.1.28) - hxxp://viper.vionfood.local/forms/jinitiator/jinit.exe
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://vion-support.webex.com/client/upgradeserver/client/ptool/T27L10NSP11EP15-6316/ieatgpc.cab
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} (JuniperSetupClientControl Class) - https://employees.vionfood.com/dana-cached/sc/JuniperSetupClient.cab
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Programme\Juniper Networks\Common Files\dsNcService.exe
O23 - Service: Empirum Remote Control Service (EmpirumRC_Service) - matrix42 AG - C:\WINDOWS\system32\Empirum\EmpirumRCHost.exe
O23 - Service: GtFlashSwitch - OptionNV - C:\Programme\Gemeinsame Dateien\GtFlashSwitch\GtFlashSwitch.exe
O23 - Service: Fujitsu HaMDevMg.1.01 (HaMDevMg.1.01) - Fujitsu Technology Solutions - C:\Programme\Gemeinsame Dateien\Fujitsu\Manageability\HaMDevMg.exe\1.01\HaMDevMg.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Lotus Notes - Gemeinsame Anmeldung (Lotus Notes Single Logon) - IBM Corp - C:\program files\lotus\notes7.0.2\nslsvice.exe
O23 - Service: Empirum-AUT Service (MATRIXAUT) - matrix42 AG - C:\WINDOWS\system32\EMPIRUM\empautsvc.exe
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - c:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\program files\lotus\notes7.0.2\ntmulti.exe
O23 - Service: Empirum-Agent (SetupService) - matrix42 AG - C:\WINDOWS\system32\EMPIRUM\SetupSvc.exe
O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Programme\RealVNC\WinVNC\WinVNC.exe

--
End of file - 9972 bytes

--- --- ---

Chris4You · 05.08.2010, 08:54

Hi,

ist das ein geschäftlich genutzter PC?

Es werden einige Dateien installiert, kennst Du die (Oracle?)?:

hxxps://employees.vionfood.com/dana-cached/sc/JuniperSetupClient.cab
hxxp://viper.vionfood.local/forms/jinitiator/jinit.exe

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\install\MsnMsgr.exe
C:\Programme\Gemeinsame Dateien\Fujitsu\Manageability\HaMDevMg.exe\1.01\HaMDevMg.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt

Poste die Logfiles hier in den Thread

chris
Ps.: Policies!

hmd608 · 05.08.2010, 09:28

Vielen Dank für die schnelle Antwort :-)

Hier die Ergebnisse von Virustotal zu MsnMsgr.exe. Die andere Datei war ungefährlich. Die vionfood-Dateien sind ungefährlich und werden hier im Unternehmen verwand. Der andere Scan läuft gerade durch.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2010.08.05.03 2010.08.05 -
AntiVir 8.2.4.32 2010.08.04 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.08.03 -
Authentium 5.2.0.5 2010.08.05 W32/VB.AS.gen!Eldorado
Avast 4.8.1351.0 2010.08.04 Win32:VB-OXI
Avast5 5.0.332.0 2010.08.04 Win32:VB-OXI
AVG 9.0.0.851 2010.08.04 -
BitDefender 7.2 2010.08.05 Gen:Variant.IrcWorm.1
CAT-QuickHeal 11.00 2010.08.05 -
ClamAV 0.96.0.3-git 2010.08.05 -
Comodo 5645 2010.08.04 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.08.05 Win32.HLLW.Autoruner.14469
Emsisoft 5.0.0.36 2010.08.05 IRC-Worm.SuspectCRC!IK
eSafe 7.0.17.0 2010.08.04 -
eTrust-Vet 36.1.7767 2010.08.05 -
F-Prot 4.6.1.107 2010.08.05 W32/VB.AS.gen!Eldorado
F-Secure 9.0.15370.0 2010.08.05 Gen:Variant.IrcWorm.1
Fortinet 4.1.143.0 2010.08.05 -
GData 21 2010.08.05 Gen:Variant.IrcWorm.1
Ikarus T3.1.1.84.0 2010.08.05 390786 'IRC-Worm.SuspectCRC
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.05 Trojan.Win32.Buzus.exmu
McAfee 5.400.0.1158 2010.08.05 -
McAfee-GW-Edition 2010.1 2010.08.05 -
Microsoft 1.6004 2010.08.05 -
NOD32 5341 2010.08.04 a variant of Win32/Injector.AZJ
Norman 6.05.11 2010.08.04 -
nProtect 2010-08-04.01 2010.08.04 Gen:Variant.IrcWorm.1
Panda 10.0.2.7 2010.08.04 W32/Gaobot.OXI.worm
PCTools 7.0.3.5 2010.08.04 Trojan.IRCBot
Prevx 3.0 2010.08.05 -
Rising 22.59.03.03 2010.08.05 -
Sophos 4.56.0 2010.08.05 -
Sunbelt 6687 2010.08.05 Virtool.Win32.Vbinject.Gen.2 (v)
SUPERAntiSpyware 4.40.0.1006 2010.08.05 -
Symantec 20101.1.1.7 2010.08.05 W32.IRCBot
TheHacker 6.5.2.1.332 2010.08.05 Trojan/Injector.azj
TrendMicro 9.120.0.1004 2010.08.05 Mal_BUZUS-7
TrendMicro-HouseCall 9.120.0.1004 2010.08.05 Mal_BUZUS-7
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.8.4.3971 2010.08.05 -
VirusBuster 5.0.27.0 2010.08.04 -
weitere Informationen
File size: 704589 bytes
MD5 : d68abaa75ade70b226d882156fb6aafd
SHA1 : fc809107194d7b778e2cb1ebfa78d943e7fb64d4
SHA256: 07aa1512ac416a415d0ad7a4bf6516e96a165d694d54e6f1a0444de1cf4b1612
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x55C8
timedatestamp.....: 0x4B9FD8CE (Tue Mar 16 20:15:26 2010)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x63FD4 0x64000 5.69 7b41522814f6323442c77d402b03dda4
.data 0x65000 0x5570 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x6B000 0x9BC 0x1000 2.21 49c248fee2acd1a7243d6e999950d6cd

( 1 imports )

> msvbvm60.dll: __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaAryMove, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaEnd, __vbaFreeVarList, _adj_fdiv_m64, __vbaRaiseEvent, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryDestruct, -, __vbaExitProc, __vbaVarForInit, -, __vbaObjSet, __vbaOnError, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaCyStr, _CIsin, __vbaErase, -, __vbaVarZero, -, __vbaChkstk, -, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, __vbaGet3, -, __vbaStrCmp, __vbaCyI2, __vbaPutOwner3, __vbaVarTstEq, __vbaAryConstruct2, __vbaI2I4, DllFunctionCall, -, __vbaVarLateMemSt, __vbaRedimPreserve, _adj_fpatan, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaUI1I2, _CIsqrt, EVENT_SINK_QueryInterface, __vbaUI1I4, __vbaExceptHandler, __vbaStrToUnicode, __vbaPrintFile, _adj_fprem, _adj_fdivr_m64, __vbaI2Str, -, __vbaFPException, -, __vbaGetOwner3, __vbaUbound, __vbaStrVarVal, __vbaVarCat, __vbaI2Var, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaInStr, -, -, __vbaR8Str, __vbaNew2, __vbaVar2Vec, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaI4Str, -, __vbaFreeStrList, __vbaDerefAry1, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaI4Var, __vbaAryLock, __vbaVarAdd, __vbaStrToAnsi, __vbaVarMod, __vbaVarCopy, -, __vbaFpI4, _CIatan, __vbaAryCopy, __vbaStrMove, __vbaR8IntI4, _allmul, __vbaLateIdSt, _CItan, __vbaAryUnlock, __vbaVarForNext, _CIexp, __vbaFreeObj, __vbaI4ErrVar, __vbaFreeStr, -

( 0 exports )

TrID : File type identification
Win32 Executable Microsoft Visual Basic 6 (90.9%)
Win32 Executable Generic (6.1%)
Generic Win/DOS Executable (1.4%)
DOS Executable Generic (1.4%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 12288:HkSLamsHzyywk4dBLfw/rfvLcklEaMwogs2JOkkkXQzJWL:ESLU2ywLmgM0/gXIGsQ
sigcheck: publisher....: sGcen
copyright....: ODAuMJ
product......: TExEjwvLOR
description..: Cbhd
original name: BCOUIwefhvbgyth.exe
internal name: BCOUIwefhvbgyth
file version.: 2.25.0023
comments.....: rUlDYrl
signers......: -
signing date.: -
verified.....: Unsigned

PEiD : -
RDS : NSRL Reference Data Set
-

Chris4You · 05.08.2010, 09:44

Hi,

damit ich das richtig verstehe, Du meldest Dich an diesen Rechnern an und dann bekommen die den netten kleinen IRC-Wurm (in VisualBasic... ;o)...
Das setzt voraus, dass Du Dich beim Chatt angemeldet hast und die Datei dann automatisch an Dich (bzw. den aktuellen Rechner) verschickt wird...

Bitte OTL-Log, da muss umgehend bereinigt werden...
Allerdings dürfen hier keinen geschäftlichen Rechner verwurstet werden, dafür gibt es ja den Admin bei Euch... rechtliche Probleme und so...

chris

hmd608 · 05.08.2010, 10:04

Hallo chris,
leider bin ich der Admin hier, aber ich werde das Teil nicht los. Ich muss mich halt an einigen Stationen anmelden und dann kommt dieser Fehler. Ich habe die Befürchtung, dass sich der Trojaner auf meinem USB-Stick eingenisted hat.
Hier das Ergebniss von malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4391

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

05.08.2010 10:52:16
malwarebytes.txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 276482
Laufzeit: 26 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{571gx626-q25a-221r-s681-wb01hwn80v1j} (Generic.Bot.H) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Backdoor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Backdoor) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Backdoor) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Trojan.Backdoor) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\install\MsnMsgr.exe (Generic.Bot.H) -> No action taken.
c:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\logs.dat (Bifrose.Trace) -> No action taken.
c:\Dokumente und Einstellungen\BlochTh01\Anwendungsdaten\logs.dat (Bifrose.Trace) -> No action taken.
c:\Dokumente und Einstellungen\BlochTh01\Lokale Einstellungen\Temp\IELOGIN.abc (Malware.Trace) -> No action taken.
c:\Dokumente und Einstellungen\BlochTh01\Lokale Einstellungen\Temp\IEPASS.abc (Malware.Trace) -> No action taken.
c:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> No action taken.
c:\Dokumente und Einstellungen\BlochTh01\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> No action taken.
c:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> No action taken.
c:\Dokumente und Einstellungen\BlochTh01\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> No action taken.

Chris4You · 05.08.2010, 10:19

Hi,

alles von MAM bereinigen lassen...

Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sect...isinfector.exe
oder
http://www.trojaner-board.de/72847-f...absichern.html

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
3. Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden).
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Danach bitte noch mit angeschlossenem USB-Stick noch mal MAM laufen lassen, dabei den Stick mit überprüfen lassen...

Als letztes noch das OTL-Log...

chris

bin jetzt für 2 h nicht da...

Fehlermeldung beim Start "Cbhd hat Fehler verursacht"

Log-Analyse und Auswertung: Fehlermeldung beim Start "Cbhd hat Fehler verursacht"