jedesmal Trojanerfund nach Neustart

#1 Tag Leute :-)
Ich hoffe ihr könnt mir helfen.

Bei jedem Neustart oder Neuanmeldung meldet der AntiVirGuard 2 Trojanerfunde

Der eine ist bei
25.01.2005,21:11:08 [WARNUNG] Ist das Trojanische Pferd TR/VB.qn.C!
F:\TEMPORARY INTERNET FILES\CONTENT.IE5\331VVLGW\IEBHOS[1].DLL
[INFO] Die Datei wurde gelöscht!

,wobei sich der Ordner nach Content.ie5 immer ändert.

zb war der Pfad vorher

25.01.2005,20:55:22 [WARNUNG] Ist das Trojanische Pferd TR/VB.qn.C!
F:\TEMPORARY INTERNET FILES\CONTENT.IE5\H97FVS3N\IEBHOS[1].DLL
[INFO] Die Datei wurde gelöscht!

Der andre ist bei

25.01.2005,21:11:23 [WARNUNG] Ist das Trojanische Pferd TR/VB.qn.C!
C:\PROGRAMME\E2G\IEBHOS.DLL
[INFO] Die Datei wurde gelöscht!


AntiVir löscht die beiden zwar, allerdings tauchen die nach einem Neustart wieder auf.

Bitte helft mir.

#2 Lad dir HijackThis und poste den Log bitte hier.

http://www.hijackthis.de/index.php
__________
Hab ich "NULL" gewählt?

#3 No ne kleine Info:
Ich bin über einen Router online, der nonstop online ist und mir is aufgefallen dass wenn ich hochfahre während ich angeschlossen bin die Trojanermeldung kommt. Wenn ich erst nach dem kompletten Hochfahren das LAN-Kabel anschliesse sind die IEBHOS.DLL - Dateien nicht da und somit kommt auch keine Trojanermeldung.

Das kam bei HijackThis raus

Logfile of HijackThis v1.99.0
Scan saved at 17:40:23, on 26.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\RUNDLL32.EXE
F:\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\prutmct.exe
C:\WINDOWS\System32\prutmct.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\L.Kapole\Eigene Dateien\hijackthis_199\HijackThis.exe

F3 - REG:win.ini: run=
O2 - BHO: No description - {0036F389-FEF8-43AC-9220-16430E0012ED} - C:\WINDOWS\DOWNLO~1\iEBINST.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Adobe Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - (no file)
O2 - BHO: NAUPOINTBAR - {4E7BD74F-2B8D-469E-95BE-B378BA9CB52D} - C:\WINDOWS\DOWNLO~1\NAUPOI~1.DLL
O3 - Toolbar: NAUPOINTBAR - {4E7BD74F-2B8D-469E-95BE-B378BA9CB52D} - C:\WINDOWS\DOWNLO~1\NAUPOI~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "F:\Quick Time 5\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] F:\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Mirabilis ICQ] F:\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [Steam] "d:\spiele auf d\steam\steam.exe" -silent
O4 - HKCU\..\Run: [prutmct] C:\WINDOWS\System32\prutmct.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0036F389-FEF8-43AC-9220-16430E0012ED} (No description) - http://naupoint.com/toolbar/installer/iEBINST6.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100470877942
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {CDA94496-ED6F-4C72-94C8-2C485DC63390} (VCDS Control) - http://vcds-client.nefficient.co.kr/vcds-client/vCDS.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {E9041F85-3C18-4A7E-A29D-E24F84B79BF1} - http://64.7.220.98/downloads/UGO20.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FDF6764-1EDF-4C63-955F-5A1836A583C0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1FDF6764-1EDF-4C63-955F-5A1836A583C0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1FDF6764-1EDF-4C63-955F-5A1836A583C0}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Prime95 Service - Unknown - F:\Prime95\prime95.exe (file missing)


Hoffe ihr könnt mir helfen. Ich hab gestern die ganze Zeit in Net und hier im Forum nach Hilfe zu dem Prob gesucht aber nix gefunden : /

#4 C:\WINDOWS\System32\prutmct.exe
Diesen Prozess kenne ich nicht, google kennt ihn auch nicht, deswegen würde ich dir raten, ihn zu beenden. Überprüfe die Datei online bei http://virusscan.jotti.dhs.org/ und gegebenfalls löschen.

Fixe diese Punkte:
O2 - BHO: No description - {0036F389-FEF8-43AC-9220-16430E0012ED} - C:\WINDOWS\DOWNLO~1\iEBINST.dll
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - (no file)
O2 - BHO: NAUPOINTBAR - {4E7BD74F-2B8D-469E-95BE-B378BA9CB52D} - C:\WINDOWS\DOWNLO~1\NAUPOI~1.DLL
O3 - Toolbar: NAUPOINTBAR - {4E7BD74F-2B8D-469E-95BE-B378BA9CB52D} - C:\WINDOWS\DOWNLO~1\NAUPOI~1.DLL
O4 - HKCU\..\Run: [prutmct] C:\WINDOWS\System32\prutmct.exe
O16 - DPF: {0036F389-FEF8-43AC-9220-16430E0012ED} (No description) - http://naupoint.com/toolbar/installer/iEBINST6.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {CDA94496-ED6F-4C72-94C8-2C485DC63390} (VCDS Control) - http://vcds-client.nefficient.co.kr/vcds-client/vCDS.CAB
O16 - DPF: {E9041F85-3C18-4A7E-A29D-E24F84B79BF1} - http://64.7.220.98/downloads/UGO20.exe
O23 - Service: Prime95 Service - Unknown - F:\Prime95\prime95.exe (file missing)

Lade Ad-Aware http://fileforum.betanews.com/detail/965718306/1
und Spybot Search & Destroy http://www.safer-networking.org/de/mirrors/index.html und scanne dein System, nachdem du die Programme nach der INstallation geupdatet hast.

Du solltest dich nicht auf die Routerfirewall verlassen, hol dir vielleicht die Kerio Personal Firewall (gibts auch als Free-Version)
__________
Hab ich "NULL" gewählt?

#5 Danke für die schnelle Hilfe.
In dem Online Test hat Dr.Web erkannt dass es n Trojaner is :-/
Ich versuch jetzt ersma die exe zulöschen und scann da alles.
Aber wie fixe ich die denn die Sachen da oben ?

#6 Im HijackThis gibt es nach dem Scannen die Funktion zu fixen
Du setzt einfach die Häkchen bei den Objekten, die ich dir aufgelistet habe und klickst auf Fix checked
__________
Hab ich "NULL" gewählt?

#7 OK werd ich machen. Viele vielen dank für die schnelle Hilfe.

#8 Immer wieder aber ich hoffe trotzdem, dass wir uns in dem Zusammenhand nicht mehr lesen
__________
Hab ich "NULL" gewählt?