Home » Spyware & Browser Hijacker Support Forum » Problem mit vmcleaner und gxlib.exe » Themenansicht

Problem mit vmcleaner und gxlib.exe
#0
16.12.2005, 23:20
RolandK
...neu hier

Beiträge: 1
#1 Hallo,

ein Kollege von mir ärgert sich auch mit dem vmcleaner / gxlib Trojaner (Spyware) rum, der sich immer wieder auf seinen Win98 Desktop frisst.
Festgestellt hatte er eigentlich nur, dass statt seiner Standard-Startseite im Browser immer wieder auf eine Browser Update-Startseite von microsoft.com verwiesen wurde, wenn er den IE das erstemal in einer Windows Sitzung startete. Und so nicht auf seine voreingestellte Google.de Seite kam - es sei denn er wählte es extra an über das Homepage-Symbol.
Spybot Resident meldete stets:

Zitat

Verweigert value "First Home Page" (new data: "") gelöscht in Browser page!
Nun habe ich versucht bei ihm auch den [vmcleaner] gxlib.exe zu entfernen - erfolglos! Immer wieder kommt die Meldung

Zitat

Verweigert value "vmcleaner" (new data: "") gelöscht in System Startup global entry!
Es gibt keine gxlib.exe auf seiner Festplatte. Ein Virenscan mit eScan fand keine Viren.

Hier mal das Log von HijackThis:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:46:05, on 16.12.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER3.1\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\BASES\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {7357B5A1-033C-11DA-8192-44456FDB1B7D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O18 - Filter: text/html - {7357B5A0-033C-11DA-8192-44450097BEE6} - (no file)
O18 - Filter: text/plain - {7357B5A0-033C-11DA-8192-44450097BEE6} - (no file)
--------------

Die O15 Trusted Zones / IP-ranges bekomm ich auch nicht gelöscht. Bin am Verzweifeln,weil ich nicht weiß, welches Programm oder Prozess dafür verantwortlich ist, dass immer wieder der O4 [vmcleaner] gxlib.exe - Eintrag neu angelegt wird.

Ein Durchlauf mittels smitRem wurde durchgeführt:

Zitat

smitRem © log file
version 2.8

by noahdfear


Windows 98 [Version 4.10.1998]


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

spyaxe uninstaller NOT present

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system folder ~~~




~~~ Icons in system folder ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~



~~~~ wininet.dll ~~~~

wininet.dll Present!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Starting registry repairs

Deleting files

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system folder ~~~




~~~ Icons in system folder ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~





~~~~ wininet.dll ~~~~

wininet.dll Clean!! ;)
-----------------
Hier ein Spybot Report der Autostart-Einträge:

Zitat

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-08-03 unins000.exe (51.41.0.0)
2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2005-05-31 SDHELPER.DLL (1.4.0.0)
2005-05-31 aports.dll (2.1.0.0)
2005-12-09 Includes\Cookies.sbi
2005-12-09 Includes\Dialer.sbi
2005-12-09 Includes\Hijackers.sbi
2005-12-09 Includes\Keyloggers.sbi
2005-12-09 Includes\Malware.sbi
2005-12-09 Includes\Revision.sbi
2005-12-09 Includes\Security.sbi
2005-12-09 Includes\Spybots.sbi
2005-12-09 Includes\Trojans.sbi
2005-02-17 Includes\Tracks.uti
2004-11-29 Includes\LSP.sbi
2005-12-09 Includes\PUPS.sbi

Located: HK_LM:Run, AVGCtrl
command: C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
file: C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
size: 127031
MD5: e445ef5ae7db0a6f9126ae73fbac4b60

Located: HK_LM:Run, EM_EXEC
command: C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
file: C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
size: 35328
MD5: c648ac198a671427cc3b4b2cc4149124

Located: HK_LM:Run, LoadPowerProfile
command: Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
file: C:\WINDOWS\Rundll32.exe
size: 24576
MD5: 10b405c0faa65d4991788ab4d67e973d

Located: HK_LM:Run, ScanRegistry
command: C:\WINDOWS\scanregw.exe /autorun
file: C:\WINDOWS\scanregw.exe
size: 90112
MD5: c6cacf23fce151f83cef14f888276714

Located: HK_LM:Run, SystemTray
command: SysTray.Exe
file: C:\WINDOWS\SYSTEM\SysTray.Exe
size: 36864
MD5: f172cb19f183fe9b14f52d6d4fc8fc0f

Located: HK_LM:Run, TaskMonitor
command: C:\WINDOWS\taskmon.exe
file: C:\WINDOWS\taskmon.exe
size: 28672
MD5: 84d3f05a3b65ee58fcb264711ecb55ee

Located: HK_LM:Run, vmcleaner
command: gxlib.exe
file:

Located: HK_LM:RunServices, LoadPowerProfile
command: Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
file: C:\WINDOWS\Rundll32.exe
size: 24576
MD5: 10b405c0faa65d4991788ab4d67e973d

Located: HK_LM:RunServices, SchedulingAgent
command: mstask.exe
file: C:\WINDOWS\SYSTEM\mstask.exe
size: 113424
MD5: 67a6bc2050a110bbe24778e9c69d4a42

Located: HK_LM:Run, intell32.exe (DISABLED)
command: C:\WINDOWS\SYSTEM\intell32.exe
file:

Located: HK_LM:Run, vmcleaner (DISABLED)
command: gxlib.exe
file:

Located: HK_LM:Run, WinampAgent (DISABLED)
command: "C:\PROGRAMME\WINAMP3\\winampa.exe"
file:

Located: HK_LM:RunServices, TVWatch (DISABLED)
command: C:\WINDOWS\SYSTEM\TVWatch.exe
file: C:\WINDOWS\SYSTEM\TVWatch.exe
size: 26112
MD5: 087933e431d0df89912f6c6ef3f5c6bb

Located: Startup (Benutzer), Adobe Gamma Loader.lnk
command: C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
file: C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
size: 110592
MD5: 5cd0cd0ec4dc5df459b3ac016764f5aa

Located: Startup (Benutzer), SmartSurfer.lnk
command: C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
file: C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
size: 1724416
MD5: 04b04e20b7ef6dfbc86c7190ffd07178
------------------------------

Hier die mittels Datfind aufgelisteten Dateien der letzten Wochen (statt Windows\System32 hab ich C:\Windows\System genommen:

Zitat

Verzeichnis von C:\WINDOWS\SYSTEM

NSCOMPAT TLB 23.392 16.08.05 15:12 nscompat.tlb
AMCOMPAT TLB 16.832 16.08.05 15:12 amcompat.tlb
IE4FILES INF 1.772 16.08.05 15:06 ie4files.inf
JAVAPERM HLP 12.478 16.08.05 14:59 JAVAPERM.HLP
JAVASEC HLP 23.809 16.08.05 14:59 JAVASEC.HLP

Verzeichnis von C:\WINDOWS\TEMP

~DF4DDD TMP 1.536 16.12.05 17:46 ~DF4DDD.TMP
1 Datei(en) 1.536 Bytes
0 Verzeichnis(se) 1.890.502.656 Bytes frei

Verzeichnis von C:\WINDOWS

SYSTEM DAT 4.575.264 16.12.05 18:06 SYSTEM.DAT
USER DAT 950.304 16.12.05 18:06 USER.DAT
WIN386 SWP 96.468.992 16.12.05 18:03 WIN386.SWP
SYSTEM INI 2.257 16.12.05 18:03 system.ini
WIN INI 7.932 16.12.05 17:56 WIN.INI
SCHEDLOG TXT 32.592 16.12.05 17:45 SchedLog.Txt
NDISLOG TXT 0 16.12.05 17:44 NDISLOG.TXT
SHELLI~1 462.391 16.12.05 17:44 ShellIconCache
TTFCACHE 9.606 16.12.05 17:39 ttfCache
SYSTEM CB 116 16.12.05 17:33 SYSTEM.CB
CREATI~2 LOG 2.145 16.12.05 14:17 Creative Modem Blaster V.92 PCI DI5791 #2.log
COMMAND PIF 967 16.12.05 12:46 command.PIF
PCL5EMS2 X04 4.645 16.12.05 10:02 PCL5EMS2.X04
WAVEMIX INI 54 11.11.05 17:18 WAVEMIX.INI
POWERPNT INI 60 11.11.05 17:18 POWERPNT.INI
WININIT BAK 44 11.11.05 16:13 WININIT.BAK
HOSTS 0 11.11.05 15:12 hosts

Datentr„ger in Laufwerk C: WINDOWS
Seriennummer des Datentr„gers: 3D69-0D8B
Verzeichnis von C:\

BOOTLOG TXT 32.172 16.12.05 17:44 BOOTLOG.TXT
BOOTLOG PRV 32.384 16.12.05 17:44 BOOTLOG.PRV
23990098 $$$ 145 16.12.05 16:55 23990098.$$$
AVPCAL~1 LOG 4 16.12.05 16:55 AVPCallback.log
SCANDISK LOG 15.939 15.12.05 18:18 SCANDISK.LOG
AUTOEXEC BAT 145 02.08.05 16:17 AUTOEXEC.BAT
Mit internetten Grüßen
Roland

P.S. Kann erst am Montag wieder antworten.
Dieser Beitrag wurde am 16.12.2005 um 23:26 Uhr von RolandK editiert.
Seitenanfang Seitenende
19.12.2005, 14:38
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2

Zitat

Located: HK_LM:Run, intell32.exe (DISABLED)
command: C:\WINDOWS\SYSTEM\intell32.exe
file:

Located: HK_LM:Run, vmcleaner
command: gxlib.exe
file:

http://virus-protect.org/artikel/spyware/intell32.html
-------------------------------------------------------------------------
C:\WINDOWS\System32\gxlib.exe ( Troj/Small-HS Trojan.)
http://www.sophos.com/virusinfo/analyses/trojsmallhs.html

--------------------------------------------------------------------------

ueberpruefe das mal .
PCL5EMS2 X04 4.645 16.12.05 10:02 PCL5EMS2.X04

ich kenne mich leider bei Win98 nicht so aus, schreibe mal eine PM an Arnold, damit er nachschaut.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1