Trojaner PSW.Banker.0 cmid32.dll mstasks1.exe Wie geht das weg?

#1 Hallo alle zusammen!

immer wenn ich meinen Internet-Explorer starte, kommen nacheinander folgende kleine Fenster: mstasks1.exe - drückt man auf o.k. oder schließen kommt - mstask1.exe nochmal - wieder o.k. oder schließen kommt mstasks2.exe und danach kommt ein großes Fenster mit ziemlich viel Text und u.a. auch Auschnitte die commerzbanking (=> meine HP für onlinebanking) und andere Textbruchstücke enthalten, leider kam das mit dem großen Fenster bis jetzt erst zweimal vor so dass ich nicht genau sagen kann, was da alles drin steht. Ich nutze Antivir, dass aber nichts verdächtiges finden kann. Ad-aware findet jedesmal immer wieder die gleiche Malware: CoolWebSearch => ist wahrscheinlich für die nervende Such-Startseite bei meinem IExplorer schuld aber partout nicht wegzukriegen trotz löschen usw. installiert sich das Ding immer wieder von selbst. Hab auch mal AVG Anti-Virus ausprobiert und das sagt mir, das mein System von einem Trojaner namens PSW.Banker.0 / C:/Windows/cmid32.dll befallen ist. AVG kann ihn aber nicht löschen. Mit hijack hab ich folgenden log:

Logfile of HijackThis v1.97.7
Scan saved at 19:09:28, on 15.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Software\Scanner\Scan Soft Omni Page\opware32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGNT.EXE
C:\WINDOWS\winupd.exe
C:\WINDOWS\vhchost.exe
C:\p.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGUARD.EXE
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Adware - Spyware\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0F205ACC-3851-43ED-9CC1-A51D74A45329} - C:\WINDOWS\mrhop.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Software\Scanner\Scan Soft Omni Page\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
O4 - HKLM\..\Run: [Default Operation] C:\WINDOWS\vhchost.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [p] c:\p.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) => Norton Anti-Virus hab ich eigentlich schon deinstalliert, war nur zum ausprobieren... http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F841961F-D7DF-4A3F-B23F-5AC5B6606EC1}: NameServer = 217.237.151.97 194.25.2.129


....wer kann mir da noch helfen? Bin für jeden Tipp dankbar.

#2 Fixe bitte das als vorarbeit und starte dann neu:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0F205ACC-3851-43ED-9CC1-A51D74A45329} - C:\WINDOWS\mrhop.dll
O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
O4 - HKLM\..\Run: [Default Operation] C:\WINDOWS\vhchost.exe
O4 - HKCU\..\Run: [p] c:\p.exe

Arbeite dich dann bitte hier durch:
http://board.protecus.de/t9373.htm

Es waere nett, wenn du diese Dateien an virus@protecus.de oder an die Adresse aus meinem Profil schicken koenntest:
c:\p.exe
C:\WINDOWS\vhchost.exe
C:\WINDOWS\winupd.exe

Danach solltest du diese Dateien loeschen

Nachtrag: Du kannst a auch mal diesen Scanner im abgesicherten Modus deinen Rechner pruefen lassen: http://www.mwti.net/antivirus/free_utilities.asp
__________
MfG Ralf
SEO-Spam Hunter

#3 Hi,

hab die Dateien gefixt. Der Link zu dem speziellen rokop-security-Artikel funktioniert leider nicht. Die Progs c:\p.exe C:\WINDOWS\vhchost.exe und C:\WINDOWS\winupd.exe habe ich über die Suchfunktion gefunden und dort versucht zu löschen - es erscheint die Nachricht Zugriff verweigert - ...kann nicht gelöscht werden...evtl. schreibgeschützt (=> ist es aber nicht) Dieses Problem habe ich auch bei anderen, persönlichen Dateien auf meinem PC. Der Virenscanner hat nix gefunden. Aber irgendwie ist das doch alles sehr verdächtig

Mfg Pimpf

#4 Du musst die Eintraege erst fixen und neu starten, sonst funktioniert das verschicken und loeschen nicht.
__________
MfG Ralf
SEO-Spam Hunter

#5 Hi Raman,

jetzt klappts, hab keine Probleme mehr - vielen Dank. Doch die Dateien c:\p.exe, C:\WINDOWS\winupd.exe waren nach einem Fix und Neustart plötzlich nicht mehr auffindbar. Mein Scan sieht jetzt folgendermaßen aus:

Logfile of HijackThis v1.97.7
Scan saved at 10:40:36, on 16.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Software\Scanner\Scan Soft Omni Page\opware32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGUARD.EXE
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Adware - Spyware\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Adobe\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Software\Scanner\Scan Soft Omni Page\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F841961F-D7DF-4A3F-B23F-5AC5B6606EC1}: NameServer = 217.237.151.97 194.25.2.129


mfg

Pimpf