Trojan Dropper vnwjeo.exe
 

Tag erstmal

Habe gerade meinen Rechner angeschmissen da hat Norton auch direkt ne Virenmeldung ausgespuckt.

Trojan dropper found

C:/Windows/System32/vnwjeo.exe

Bei einem Neustart meines Pc's kommt nach ca ner halben Minute folgende Meldung:

"Windows muss jetzt neu gestartet werden,
da der Dienst Remoteprozeduraufruf (RPC)
unerwartet beendet wurde."

Kann das aber noch verhindern indem ich mit Ausführen shutdown -a eingebe.

Brauche dringend eure Hilfe.
Hier die Hijackfile:

Logfile of HijackThis v1.99.0
Scan saved at 16:09:10, on 08.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\AVPersonal\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
D:\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Norton Personal Firewall\NISUM.EXE
D:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Norton Personal Firewall\IAMAPP.EXE
D:\NORTON~2\SPEEDD~1\nopdb.exe
D:\NORTON~2\NORTON~1\navapw32.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\PROGRA~1\TCMMOU~1\MouseDrv.exe
C:\WINDOWS\System32\LXSUPMON.EXE
D:\AVPersonal\AVGNT.EXE
D:\Norton Personal Firewall\SymProxySvc.exe
D:\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Internet Explorer\iexplore.exe
G:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iamapp] D:\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] D:\NORTON~2\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMMOU~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMMOU~1\MouseDrv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{93DE3F89-8A9A-4DFB-AE52-E4005AE1B558}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service - Symantec Corporation - D:\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager - Symantec Corporation - D:\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: Norton Personal Firewall Proxy Service - Symantec Corporation - D:\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe



Dick_Brave

@Dick_Brave
wie schon so oft:
erst system und IE updaten, anders ist der rest umsonst
wechsle in den abgesicherten modus und fixe mit HJT

O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMMOU~1\MouseDrv.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab

danach manuell löschen
C:\PROGRA~1\TCMMOU~1\MouseDrv.exe

neu booten, neues HJT logfile posten

chaosman

Das wusste ich nicht sorry.

Bin erst seit heute hier und hab net so viel Ahnung davon.
Hab nur gesehen dass hier jeder seine Hijackfile reinpostet.