IE-stürzt ab. Trojaner-Anwendung lässt sich nicht entfernen

Hallo,
ich habe mir leider anscheinend etwas Übles aus dem Netz zugezogen und bekomme es nicht wieder los.
Ich nehme an, dass es ein Trojaner ist, da mein Virus-Scanner auch immer wieder anschlägt, weil er ein trojanisches Programm gefunden hat. Ich kann mit meinem Rechner sgar nicht mehr ins Internet.

Wenn mein PC hochfährt, blockt die Firewall das Programm vtvlahtk.exe (oder auch: -1328521040 Das zeigt die Firewall-Meldung an, im Explorer ist es aber die vtvlahk.exe) Es befindet sich in C:\system32.

Ich kann den Internet-Explorer nicht mehr benutzen. Er stürzt einfach direkt wieder ab, nach wenigen Sekunden.

Ich bin soweit gekommen, dass ich meine es liegt an dem Ordner inet20004 (er ist schreibgeschützt, man kann den Haken zwar einmal anklicken und dadurch gräulich färben und auch ganz entfernen, aber er kommt immer wieder. Keine Chance den Schutz aufzuheben).
Und es gibt noch eine HTML-Datei die wahrscheinlich mit dazu gehört, die Datei 2.html unter C:\.
Ich habe diese Datei und auch alle Dateien von dem Ordner inet20004 versucht zu löschen. Die html-Datei erscheint nach jedem Neustart immer wieder, genau wie auch die Dateien aus dem Ordner inet20004 die sofern sie sich überhaupt löschen lassen. Die services.exe konnte ich zum Beispiel nur einmal löschen. Dies ist mir mit WinOptimizer2007 nach mehreren Versuchen gelungen. Es ist aber wieder gekommen und lässt sich auch nicht mehr entfernen. Der Virus-Scanner hat auch schon versucht die Datei zu löschen, ohne Erfolg.
Die EXE-Dateien, die mit „mmx“ beginnen, haben sich geändert d.h. sie kamen nach dem löschen wieder aber mit einer anderen Zahl in der Bezeichnung. Und nicht nur das, es werden auch immer mehr Dateien.

Wenn man die Dateien aus dem Ordner inet20004 verschiebt, kommt beim PC-Start die Meldung dass die Programme nicht gefunden werden können und man die Registry überprüfen solle. Aber der Internet-Explorer funktioniert trotzdem nicht. (selbst dann wenn der Ordner inet2004 leer ist, kann man ihn nicht löschen. Und der Ordner in den man die Dateien verschiebt, wird schreibgeschützt, was man auch nicht ändern kann.
Als letztes habe ich versucht den AutoStart von den Dateien vtvlahtk.exe bzw. services.exe mit WinOptimizer2007 abzuschalten. Das einzige was es aber gebracht hat, ist das die Firewall nicht mehr beim Neustart anschlägt. Das Internet-Explorer Problem bleibt aber.


Ich habe wirklich schon alles Mögliche probiert (löschen und verschieben der Dateien) aber nichts hilft. Ich bekomme es einfach nicht wieder los.

Kann mir jemand helfen?

Ich habe auch Screenshoots von den Meldungen (Firewall, Virus-Scanner, Ordnerinhalt) gemacht, kann ich gerne auch zumailen.
(habe sie für den Anhang nicht klein genug bekommen)

 

Das gehört ja eigentlich ins Tojanerboard (Sicherheit).Da hättest du lesen können was man erstmal machen soll.
http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

 

Hallo,
ich habe mir leider anscheinend etwas Übles aus dem Netz zugezogen und bekomme es nicht wieder los.
Ich nehme an, dass es ein Trojaner ist, da mein Virus-Scanner auch immer wieder anschlägt, weil er ein trojanisches Programm gefunden hat. Ich kann mit meinem Rechner sgar nicht mehr ins Internet.

Wenn mein PC hochfährt, blockt die Firewall das Programm vtvlahtk.exe (oder auch: -1328521040 Das zeigt die Firewall-Meldung an, im Explorer ist es aber die vtvlahk.exe) Es befindet sich in C:\system32.

Ich kann den Internet-Explorer nicht mehr benutzen. Er stürzt einfach direkt wieder ab, nach wenigen Sekunden.

Ich bin soweit gekommen, dass ich meine es liegt an dem Ordner inet20004 (er ist schreibgeschützt, man kann den Haken zwar einmal anklicken und dadurch gräulich färben und auch ganz entfernen, aber er kommt immer wieder. Keine Chance den Schutz aufzuheben).
Und es gibt noch eine HTML-Datei die wahrscheinlich mit dazu gehört, die Datei 2.html unter C:\.
Ich habe diese Datei und auch alle Dateien von dem Ordner inet20004 versucht zu löschen. Die html-Datei erscheint nach jedem Neustart immer wieder, genau wie auch die Dateien aus dem Ordner inet20004 die sofern sie sich überhaupt löschen lassen. Die services.exe konnte ich zum Beispiel nur einmal löschen. Dies ist mir mit WinOptimizer2007 nach mehreren Versuchen gelungen. Es ist aber wieder gekommen und lässt sich auch nicht mehr entfernen. Der Virus-Scanner hat auch schon versucht die Datei zu löschen, ohne Erfolg.
Die EXE-Dateien, die mit „mmx“ beginnen, haben sich geändert d.h. sie kamen nach dem löschen wieder aber mit einer anderen Zahl in der Bezeichnung. Und nicht nur das, es werden auch immer mehr Dateien.

Einige Dateien im Ordner inet20004 heißen:

killer.exe
killer.exe.bak
services.exe
mm.pid
mmx996.exe
mmx90.exe

und noch weitere Dateien mit „mmx…“


Wenn man die Dateien aus dem Ordner inet20004 verschiebt, kommt beim PC-Start die Meldung dass die Programme nicht gefunden werden können und man die Registry überprüfen solle. Aber der Internet-Explorer funktioniert trotzdem nicht. (selbst dann wenn der Ordner inet2004 leer ist, kann man ihn nicht löschen. Und der Ordner in den man die Dateien verschiebt, wird schreibgeschützt, was man auch nicht ändern kann.
Als letztes habe ich versucht den AutoStart von den Dateien vtvlahtk.exe bzw. services.exe mit WinOptimizer2007 abzuschalten. Das einzige was es aber gebracht hat, ist das die Firewall nicht mehr beim Neustart anschlägt. Das Internet-Explorer Problem bleibt aber.


Ich habe wirklich schon alles Mögliche probiert (löschen und verschieben der Dateien) aber nichts hilft. Ich bekomme es einfach nicht wieder los.

Kann mir jemand helfen?

Ich habe auch Screenshoots von den Meldungen (Firewall, Virus-Scanner, Ordnerinhalt) gemacht, kann ich gerne auch zumailen.
(habe sie für den Anhang als bmp-Datei nicht klein genug bekommen)

 

Warum auf einmal 2 Threads
http://www.pcwelt.de/forum/software...er-anwendung-laesst-sich-nicht-entfernen.html
und immer noch kein HJT-Log.

 

Hallo,

poste den Namen der Viren die gefunden werden und welches Betriebssystem du verwendest.

Prüfe deinen Autostart auf Auffälligkeiten (unbekannte Programme):
1.im Startmenü
2.Start-Ausführen-msconfig... (Win XP)
3.Systemsteuerung->Software...
4.die Run-Ordner der Registry mit HiJackThis
leere deinen Verlauf, Cache, Cookies und (unter XP) den Prefetch-Ordner,

Dann scan mit HijackThis. Browser schliessen, keine Installation nötig. Download und weitere Infos zu HiJackThis oben im Board zu lesen.

Das Logtutorial von HiJackThis auswerten lassen und den Link zur Auswertung hier posten.

Alle Aktionen evtl. bei deaktivierter Systemwiederherstellung (ME & XP) und im abgesicherten Modus ausführen - hinterher jeweils neu scannen.

Info:
Bundesamt für Sicherheit in der Informationstechnologie (BSI)

Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP):

http://www.bsi.de/av/texte/wiederher_xp.htm

 

-> zusammengeworfen

@PB87

Lies: http://www.pcwelt.de/forum/showthread.php?t=204975

 

Sorry für den doppelten Eintrag. War keine Absicht.
Möchte einfach nur wieder einen sauberen Rechner und versuche alles genau zu erklären.

Ich nutze Windows XP mit SP2.

Die Autostart-Programme habe ich schon kontrolliert. Ich habe meinen PC auch schon gereinigt, mit AdAware und mit ASHAMPOO WinOptimizer2007.

Ich habe zwei Hijackthis gemacht. Beim ersten ist die Datei services.exe noch im Ordner inet20004 enthalten, dann wurde sie aber doch irgendwie entfernt und dann habe ich noch mal einen Hijackthis-Scan gemacht. Nachdem die Datei services.exe aus dem Ordner inet2004 gelöscht wurde, erscheint bei jedem Neustart die Fehlermeldung:"C:\WINDOWS\inet20004\services.exe konnte nicht gefunden werden. Stellen Sie sicher,dass Sie den Namen korrekt eingegeben haben und wiedreholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen" um eine Datei zu suchen."
Erst nach dem bestätigen mit OK fährt der PC weiter hoch und es erscheint die Fehlermeldung:"Die in der Registrierung angegebene Anwendung :"C:\WINDOWS\inet20004\services.exe" konnte nicht geladen oder gestartet werden. Stellen Sie sicher, dass die Datei vorhandn ist, oder entfernen Sie den Eintrag mit Bezug auf diese Datei aus der Registrierung."
Nach dem Bestätigen mit OK fährt der PC weiter hoch.

Der Virus-Scanner meldet immer wieder C:\WINDOWS\inet20004\icq.exe ist das Trojanische Pferd... und bei C:\WINDOWS\System32\Service.exe schlägt er auch immer wieder an, kann die Datei aber nicht löschen.
Und dann meldet er auch verschiedene andere Trojaner während des Betriebes.

Hier ist also die Auswertung mit services.exe:

http://www.hijackthis.de/logfiles/95cd87eb35bf9e1c4fe56bb3f1c11aa8.html


Und hier der zweite Durchgang nachdem die Datei entfernt wurde:

http://www.hijackthis.de/logfiles/bb9ab98867a7de31543bc0d30cec89be.html

(Virgo ist ein Programm von mir, also keine Gefahr)

So was ich daraus sehe, ist es inet2004 \ services.exe was mein Problem ist. Ist das richtig?
Und auch beim zweiten Scan ist die Datei ja noch da, und nicht laut Meldung gelöscht.
Und wie werde ich diesen Mist wieder los?

 

Naja.

Fixen:
vtvlahtk.exe
beide R0
F3
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\WINDOWS\inet20004\10307391.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll
O2 - BHO: (no name) - {C74BF024-9055-4A63-A827-AEAFF8740619} - C:\WINDOWS\system32\kbdfi132.dll
O4 - HKLM\..\Run: [vtvlahtk] C:\WINDOWS\system32\vtvlahtk.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20004\services.exe
O4 - HKCU\..\Run: [vtvlahtk] C:\WINDOWS\system32\vtvlahtk.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20004\services.exe
O4 - Startup: CD-MENU.LNK = ?
O4 - Global Startup: MS_update_0610_KB72306.exe
das ganze O18 Zeugs???
O21
O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe (file missing)

Offline gehen, Temp-Ordner leeren, Service.exe im Taskmanager beenden(falls aktiv).
Dann mit HiJackThis den Rest fixen.
Antiseuchen-Programme noch mal alles abklappern lassen.

Schau mal unter Systemsteuerung->Verwaltung->Dienste nach, ob da einer mit nem komischen Namen läuft.

Lad mal Blacklight runter. Findet vieleicht auch was.

 

@ PB87

Die auf deinem Rechner installierte Java-Version ist veraltet. Bitte deinstallieren und von http://www.pcwelt.de/index.cfm?pid=300&pk=21203&dl=1946&p=2 das Java Runtime Environment (JRE) 5.0 Update 9 herunterladen und installieren.

Gruß
Nevok

 

Nevok, in diesem Fall brauchst keine neue Java-Version mehr der Rechner wurde von einem Backdoortrojaner infiziert der zeit genug hatte das zu tun was er wollte und auch sollte.
Ein paar gesammelte Infos über Krepper-G trojan

 

Dann soll der TO Windows neu installieren und anschließend die aktuelle Java-Version installieren.

 

Genau in dieser Reihenfolge!

 

Ich fürchte, das reicht nicht. das Surf- und Sicherheitsverhalten sollte auch mal überdacht und angepasst werden.
Das Böse schläft nie... http://www.cidres-security.de/

 

@ deoroller

Da hast du sicherlich recht, doch das ist Sache des TO.

Gruß
Nevok

 

Er kann es sich zumindest mal angucken und sich einen eigene Meinung darüber bilden.
Jedenfalls steckt hinter den Versprechnungen der Hersteller von Sicherheitssoftware sehr viel heiße Luft, die Schädlinge nicht verhindern kann, wenn der Benutzer nicht mitdenkt.

 

@poro .

Die aufgelisteten Dateien habe ich gefixt, bis auf die vtvlah tk.exe die habe ich nicht gefunden.Am Ende kam auch eine Fehlermeldung von Hijackthis :“ Unexpected error ocurred!# 52(Bad file name or number in sub GetLongPath(?.exe). Please send a report to mereijn@spywareinfo.com , mentioning what you wrere doing and what version of Windows you have .
This message has been copied to your clipboard.
Dann ist mir noch etwas aufgefallen, die „MS_update_0610_KB72306.exe“ hat sich in meinen Autostart-Ordner gelegt (genau zu der Zeit wo das Problem auftrat).Ist nachdem fixen wieder weg.

Im TaskManager läuft services.exe ist der gemeint, den ich beenden soll (hat ja noch ein s am Ende)?

In der Systemsteuerung habe ich nur zwei Dienste gefunden, mit denen ich nichts anfangen konnte. Glaube aber es ist nichts: „LexBce Server“ und „Machine Debug Manager“

Was ist mit der TO gemeint? Soll ich Windows neu installieren?
der Internet-Explorer funktioniert wieder, die inet20004 gibt es aber noch. Muss ich noch was machen oder ist mein Problem gelöst? Blacklight habe ich nicht durchlaufen lassen(kam nicht ganz zurecht)Hier ist jetzt ein aktueller Hijackthis .

 

Meinst du nicht, du solltest dir mal den obigen Link ansehen, bevor du versuchst, weiter an deinem System herumzubasteln? Wenn du gleich neu aufgesetzt hättest, wäre schon alles ausgestanden!

 

@ PB87

Mit TO ist der Thread-Opener spricht der Themenstarter (in diesem Falle du) gemeint.

Die Auswertung zum Log: http://www.hijackthis.de/logfiles/f609ea5ae16b9558a90a55490db0361c.html

Die ganzen O18-Einträge, kommen die dir bekannt vor? Falls nicht, dann solltest du die auch mal fixen. Im übrigen hast du immer noch nicht deine Java-Version aktualisiert.

Ich würde vorschlagen, du lässt das herumdoktern an deinem Rechner sein, machst Nägel mit Köpfen und setzt dein System neu auf. Eine gute Anleitung dazu findest du hier:

http://www.cidres-security.de/neuaufsetzen.html

Dann hast du wieder ein sauberes System. Ich hoffe mal, du hast das SP2 für Windows XP auf einer (Heft)-CD. Sonst solltest du es vor der Neuinstallation herunterladen und auf einer anderen Partition speichern. Gleiches gilt für das Java Runtime Environment.

Die Neuinstallation mag zwar jetzt viel Arbeit und Zeit kosten, ist aber die beste Lösung. Damit du dir zukünftig die Arbeit und Zeit für eine Neuinstallation sparen kannst, solltest du ein Image-Programm verwenden, mit dem du regelmäßig Images von der Systempartition erstellst. Im Falle einer erneuten Infektion spielst du dann einfach das (hoffentlich virenfreie) Image wieder zurück und hast ein funktionstüchtiges System.

Bevor du jedoch ein Image anlegst, solltest du erstmal einen vollständigen Systemscan deines Rechners durchführen, damit du relativ sicher sein kannst, ein virenfreies System zu haben.

Außerdem solltest du dir angewöhnen, zum Surfen im Internet ein Benutzerkonto mit eingeschränkten Rechten zu verwenden. Dies reduziert die Möglichkeit einer Infektion erheblich, auszuschließen ist sie jedoch nicht. Wie du ein solches Konto erstellst, kannst du hier nachlesen:

http://www.cidres-security.de/benutzerkonto.html

Benutzerkonten mit Administratorrechten solltest du nur, wie das Wort schon sagt, zum Administrieren des Systems (beispielsweise zum Updaten von Windows oder der sonst installierten Software und zum Installieren von Programmen) verwenden.

Die Seite http://www.cidres-security.de ist allgemein sehr empfehlenswert und du solltest dir da mal das eine oder andere gut durchlesen.

Gruß
Nevok

 

Hallo,
hatte mir schon gedacht, das ich mit TO gemeint bin, wollte aber sicher sein.
Ich denke die O18 Einträge gehören zu meiner Logitech Maus/Tastatur-Software. Da ich es aber nicht 100% weiß, kann ich sie auch fixen, um sicher zu gehen. Zur Not installiere ich die Software eben neu. So wäre es dann wohl das Beste, oder?

Danke für die guten Ratschläge, wie ich mich besser vor solchen Schäden schützen kann und mir wieder ein sauberes System beschaffe.

Ich hätte meinen Rechner auch schon komplett neu installiert, nur gibt es da ein Problem.
Leider ist es aber bei mir nicht so einfach mein System komplett neu zu installieren. Ich benutze meinen PC ausschließlich blind, d.h. ich benutze Sprachausgabe. (Durch dieses "Handicap" habe ich mir leider den Trojaner eingefangen. Es ist nicht immer ganz einfach direkt eine Gefahr zu entdecken, wenn man nicht alles mit einem Blick erfassen kann, sondern von Anfang an alles durchgehen muss.)
Das Problem bei einer Neuinstallation ist, das ich meinen Rechner eben als Hilfsmittel nutze, d. h. ich habe ein Vorlese-System installiert, was ich selber nicht habe. Das Programm ist nur auf meinen Rechner und müsste somit von der Herstellerfirma neu installiert werden. Dies ist aber leider nicht so einfach und kostenaufwendig.
Darum wäre ich wirklich sehr froh, auch wenn es etwas Zeit braucht, wenn mir geholfen wird meinen PC ohne Neuinstallation wieder sauber zu bekommen.
Ich bin dankbar für jede Hilfe, Hauptsache ich bekomme mein System wieder flott, damit ich wie gewohnt arbeiten kann. Und er mich weiter voll unterstützen kann, da ich ihn wie gesagt nicht nur zum Spaß, sondern auch für tägliche "normale" Dinge benötige,
Kann ich also nicht doch noch weiter machen, oder hat es wirklich keinen Sinn?

 

Das erklärt einiges.

Eine Alternative zum Neuaufsetzen gibt es nicht wirklich.

Allerdings solltest ein so spezielles, auf individuelle Bedürfnisse konfiguriertes System komplett gesichert werden, so dass es im Notfall schnell auf den Ursprungszustand zurückgesetzt werden kann.
Die Systemwiederherstellung von XP kann bei technischen Problemen helfen aber einen Schädlingsbefall kann sie nicht rückgängig machen - schlimmer noch, sie konserviert sie und stellt sie immer wieder her, auch wenn sie vermeintlich beseitigt wurden.

Denke mal über eine zweite Festplatte nach, auf der das komplette System per Imagesicherung regelmäßig gesichert wird.