backdoor-cma.dll oder bkdr_cma.dll

Hallo!

Ich habe seit vorgestern den Virus bkdr_cma.dll auf meinem laptop. ich habe im internet schon gesucht, aber nich viel über ihn gefunden, außer, dass man ihn auch unter dem namen backdoor-cma.dll haben kann.. ich merke nich, dass er irgendwas an meinem rechner macht, er verursacht nur andauernd warnung von meinem virenprogramm (trend micro internet security). Oft sagt trend micro mir, dass der virus nich geschlöscht werden kann, aber manchmal geht das auch, aber er kommt immer wieder. Meistens beim neustart des laptops und regelemäßig, wenn ich eine .txt-datei öffne. das hab ich auch in der beschreibung gefunden.
mein virenprogramm sagt mir, dass der virus in kernell32.dll steckt.. nur diese datei befindet sich nicht auf meinem pc, da gibt es nur eine kernel32.dll und die will ich lieber nicht löschen..
Ich habe Windows XP Home Edition.. ich hoffe, ihr könnt mir wenigenstens ein bisschen weiterhelfen

stillfly

mach mal einen Oline-Scan:
www.bitdefender.de

Versuch mal mit deinem AV-Programm den Virus im abgesicherten Modus zu entfernen.

Vorher die Systemwiederherstellung deaktivieren.

ich hab das jetzt beides ausprobiert.. der online scan hat den virus gar nich erst gefunden und als ich im abgesicherten modus gestartet hab, hat mein virenprogramm den virus auch nich mehr gefunden, obwohl er vor dem scan 3mal eine warnung abgegeben hat.. dann hab ich noch meinen pc nach einer kernell32.dll durchsucht, die komplette festplatte, weil mein virenprogramm ja behauptet, dass sich der virus in C:\Windows\system32\kernell32.dll befindet.. ich habe auch die versteckten dateien durchsucht, aber diese datei befindet sich nicht auf meiner festplatte! ich habe den virus jetzt bestimmt auch schon 25 mal gelöscht und er ist immer noch da.. ich weiß echt nich mehr, was ich machen soll.. es gibt wohl auch noch keine software dagegen, weil der virus erst seit dem 5.1.2005 bekannt ist..

hast du die anweisungen von bla befolgt? starte im abgesicherten modus, dann bist du automatisch administrator, dann über hilfe & support die wiederherstellungsfunktion anwählen, dann die optionen der wiederherstellungsfunktion wählen und das überwachen der festplatten deaktivieren. dadurch werden die wiederherstellungspunkte gelöscht und damit auch die befallenen dateien. dann lass den trendmicro sysclean http://www.trendmicro.com/download/dcs.asp mit dem neuesten patternfile http://www.trendmicro.com/download/pattern.asp das du in das verzeichnis in dem die sysclean.com datei liegt entpackst mal laufen. wenn der nichts mehr findet wars das. was mich wundert ist, daß dein system angeblich keine kernel32.dll hat. die sollte mindestens 2x da sein: im ordner c:\windows\system32 und im ordner c:\windows\system32\dllcache (das ist ein sicherheitsdirectoy von windows). wenn die kiste dann wieder sauber ist mußt du die wiederherstellungsfunktion wieder aktivieren ...

greetz

hugo

es gibt wohl auch noch keine software dagegen, weil der virus erst seit dem 5.1.2005 bekannt ist..

Zum Vergrößern anklicken....

Angeblich kann TrendMicro diesen Schädling mit den Patternfiles vom 21.01.05 entfernen.

Wie sieht denn der Pfad aus, in dem der Schädling gefunden wurde?

hp schrieb:

hast du die anweisungen von bla befolgt? starte im abgesicherten modus, dann bist du automatisch administrator, dann über hilfe & support die wiederherstellungsfunktion anwählen, dann die optionen der wiederherstellungsfunktion wählen und das überwachen der festplatten deaktivieren. dadurch werden die wiederherstellungspunkte gelöscht und damit auch die befallenen dateien. dann lass den trendmicro sysclean http://www.trendmicro.com/download/dcs.asp mit dem neuesten patternfile http://www.trendmicro.com/download/pattern.asp das du in das verzeichnis in dem die sysclean.com datei liegt entpackst mal laufen. wenn der nichts mehr findet wars das. was mich wundert ist, daß dein system angeblich keine kernel32.dll hat. die sollte mindestens 2x da sein: im ordner c:\windows\system32 und im ordner c:\windows\system32\dllcache (das ist ein sicherheitsdirectoy von windows). wenn die kiste dann wieder sauber ist mußt du die wiederherstellungsfunktion wieder aktivieren ...

greetz

hugo

Zum Vergrößern anklicken....

ich kann keine sysclean.com finden.. und das pattern lässt sich auch nich laden, der sagt beim entpacken, dass da ein fehler drin is :-\

edit: hab den fehler bei dem sysclean.com gefunden, hab das programm für trend micro customers geladen, das heißt anders, probier das jetzt nochens mit dem sysclean.com

ich habe schon eine kernel32.dll, aber keine kernell32.dll

ja, ich hab im abgesichterten modus gestartet, die systemwiederherstellung deaktiviert und dann trend micro laufen gelassen, er hat diesmal auch den virus gefunden, ich konnte ihn löschen, aber er ist immer noch da..

der virus befindet sich in c:\windows\system32\kernell32.dll

inzwischen hab ich eine kernell32.dll datei gefunden, die erst heute erstellt worden ist.. ich hab die gescannt und da war auch der virus drin. dann hab ich die im abgesicherten modus gelöscht, aber sie erstellt sich immer wieder neu.. das muss ja heißen, dass der virus noch woanders sitzen muss ???

http://securityresponse.symantec.com/avcenter/venc/data/trojan.frutca.html ist es nicht zufällig?

Bye,
FreuDein Rechner ist nicht mehr Deinerdi

Freudi schrieb:

http://securityresponse.symantec.com/avcenter/venc/data/trojan.frutca.html ist es nicht zufällig?

Bye,
FreuDein Rechner ist nicht mehr Deinerdi

Zum Vergrößern anklicken....

das ist sehr gut möglich, 2 von den 3 da angegebenen dateien, die erstellt werden, befinden sich auf auf meiner festplatte und wurden beide heute erstellt, allerdings kann ich system.dll nicht finden
ich habe meine festplatte nach heute erstellten dateien durchsucht, kann da aber nur 2 dateien in dem ordner system32 finden, wobei die kernell32.dll auch ab und zu mal verschwindet
vielleicht sind es auch nur die beiden dateien, mir ist es nämlich noch nicht gelungen, beide dateien gleichzeitig zu löschen.. beim ersten versuch verursachte das löschen von kernell32.dll eine fehlermeldung, wobei die datei dann doch weg war, aber nicht im papierkorb und beim 2. versuch verschwand kernell32.dll auf einmal
ich werde das wohl nochmal versuchen

so, es gibt eine neue erkenntnis..
kernell32.dll lässt sich zwar löschen, verschwindet aber aus dem papierkorb, wenn man den papierkorb oder kernell32.dll im papierkorb anklickt. gibt es eine möglichkeit, eine datei ohne die ablage im papierkorb zu löschen?

stillfly schrieb:

gibt es eine möglichkeit, eine datei ohne die ablage im papierkorb zu löschen?

Zum Vergrößern anklicken....

[Shift]+[Entf]

Bye,
Freudi

hier http://www.sophos.de/virusinfo/analyses/w32cydoga.html noch was zur kernell32.exe ...

greetz

hugo

hp schrieb:

hier http://www.sophos.de/virusinfo/analyses/w32cydoga.html noch was zur kernell32.exe ...

Zum Vergrößern anklicken....

ne, das is der nich.. den hatte ich auch schonma, aber den konnte ich löschen


zum verlauf meiner versuche
kernell32.dll verschwindet auf sehr mysteriöse weise, wenn man die datei anklickt und dann shift drückt.. hab ich mir gedacht, löschst du die halt mit deinem virenprogramm und dann auch die andere datei.. hab ich gemacht, aber der virus kommt immer noch wieder, deswegen gehe ich davon aus, dass es noch eine datei gibt, die der virus erstellt hat, ich habe aber nich die geringste ahnung, welche..

Poste doch bitte mal ein Logfile von HijackThis, vielleicht kann man da ja etwas erkennen.

Dieses Tool bekommst Du hier im Downloadbereich.
Es gibt auch eine Anleitung zu diesem Tool.

Zum >> Download <<

Zur >> Anleitung <<

Scan saved at 18:29:18, on 25.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
D:\Programme\MSN Plus Beta\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Asus\Asus ChkMail\ChkMail.exe
C:\Programme\Asus\ASUS Hotkey\Hotkey.exe
C:\Programme\Wireless LAN Utility\SiWake.exe
D:\Programme\Ützwurst\Ützwurst.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Wireless LAN Utility\SiSCFG.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\PCClient.EXE
C:\Programme\Trend Micro\Internet Security\PCCGUIDE.EXE
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe
C:\Programme\Trend Micro\Internet Security\TSC.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mtv.de/pimpmyride/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [pccguide.exe] C:\Programme\Trend Micro\Internet Security\pccguide.exe
O4 - HKLM\..\Run: [PCClient.exe] C:\Programme\Trend Micro\Internet Security\PCClient.exe
O4 - HKLM\..\Run: [TM Outbreak Agent] C:\Programme\Trend Micro\Internet Security\TMOAgent.exe /run
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MessengerPlus3] D:\Programme\MSN Plus Beta\MsgPlus.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Program Files\webHancer\Programs\whSurvey.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [®Windows Update] svchosts.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\CloneCD\CloneCDTray.exe /s
O4 - HKLM\..\Run: [AVWUpd32] C:\PROGRA~1\AntiVir\Avwupd32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] C:\Programme\Skype\Phone\Skype.exe /nosplash /minimized
O4 - HKCU\..\Run: [®Windows Update] svchosts.exe
O4 - HKCU\..\Run: [Shell API32] svcnet.exe
O4 - Startup: Ützwurst.LNK = ?
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Hotkey.lnk = C:\Programme\Asus\ASUS Hotkey\Hotkey.exe
O4 - Global Startup: SiWake.lnk = C:\Programme\Wireless LAN Utility\SiWake.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite 4.14\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite 4.14\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/306f392b7cc12d6e0d19/netzip/RdxIE601_de.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{281B0A73-1D98-4BAC-8D29-800F4759CBF1}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{281B0A73-1D98-4BAC-8D29-800F4759CBF1}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{281B0A73-1D98-4BAC-8D29-800F4759CBF1}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: Trend Micro Personal Firewall - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\tmproxy.exe

Im abgesicherten Modus mit deaktivierter Sstemwiederherstellung

O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Program Files\webHancer\Programs\whSurvey.exe

Registryeintrag fixen und Datei löschen

Quelle: http://www.pestpatrol.com/PestInfo/w/webhancer.asp

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

Registryeintrag fixen und Datei löschen

O4 - HKLM\..\Run: [®Windows Update] svchosts.exe

Registryeintrag fixen und Datei löschen, bitte nicht mit dem Systemprozess svchost.exe verwechseln

Quelle:http://www.liutilities.com/products/wintaskspro/processlibrary/svchosts/

O4 - HKCU\..\Run: [Shell API32] svcnet.exe

Registryeintrag fixen und Datei löschen
Quelle: http://www.sophos.de/virusinfo/analyses/trojtibikb.html

D:\Programme\Ützwurst\Ützwurst.exe
O4 - Startup: Ützwurst.LNK = ?

Was ist das ???

Vielleicht hilft es.
Besser wäre es aus meiner Sicht, wenn Du dein System neu aufsetzt und Dir mal Gedanken darüber machst wie man sich so etwas einfängt. Vorher Daten sichern, dies sind nicht ausführbare Dateien.

Und keine zwei AV-Programme gleichzeitig im Hintergrund laufen lassen. Dies kann dazu führen das deine System gar nicht mehr läuft.

bla schrieb:

D:\Programme\Ützwurst\Ützwurst.exe
O4 - Startup: Ützwurst.LNK = ?

Was ist das ???


Und keine zwei AV-Programme gleichzeitig im Hintergrund laufen lassen. Dies kann dazu führen das deine System gar nicht mehr läuft.

Zum Vergrößern anklicken....

das is ein taxi kennst du swr3 nich? da sind nur so links drin..

ich werd antivir ma wieder deinstallieren, hatte ich nur kurzfristig, hab gedacht, der würd nich mehr laufen, weil der zeigt den gar nich an.. hmm, naja, installier ich dann ma und mach das, was du mir gesagt hast

woher ich den hab.. ich hab keine ahnung ???

stillfly schrieb:

das is ein taxi kennst du swr3 nich? da sind nur so links drin..

Zum Vergrößern anklicken....

Ich kenne SWR3 nicht, ist das schlimm ???

hmm, naja, installier ich dann ma und mach das, was du mir gesagt hast

Zum Vergrößern anklicken....

Na dann viel Spass und viel Glück, leg Dir am besten noch für deine Online-Aktivitäten einen eingeschränkten Benutzer an.

ich hab das jetzt alles gemacht, aber der virus is noch da und O4 - HKLM\..\Run: [®Windows Update] svchosts.exe kommt auch nach 2maligem löschen immer wieder

formatieren würd ich nich so gerne, weil ich trend micro nich auf cd hab, das war beim kauf auf der festplatte mit drauf und wenn das weg wär, wär schon was dumm... und einfach auf d: kopieren is ja auch so ne sache, wenn dann der registry eintrag weg is ???


naja, SWR3 is ja nurn radiosender, vielleicht kriegste den bei dir nich

was bringt mir der eingeschränkte benutzer? bin eh die einzige, die an den rechner geht