backdoor-cma.dll oder bkdr_cma.dll

  • #21
stillfly schrieb:
ich hab das jetzt alles gemacht, aber der virus is noch da und O4 - HKLM\..\Run: [®Windows Update] svchosts.exe kommt auch nach 2maligem löschen immer wieder :(
nich ;)
Zum Vergrößern anklicken....

Versuch es nochmal im abgesicherten Modus, anschließend TrendMicro durchlaufen lassen.

Eventuell mal so vorgehen wie im folgenden Link beschrieben.
http://www.sophos.de/virusinfo/analyses/w32sdbotlm.html

EDIT: Ich schau mir das morgen früh nochmal in Ruhe an.

stillfly schrieb:
was bringt mir der eingeschränkte benutzer? bin eh die einzige, die an den rechner geht
Zum Vergrößern anklicken....

Dieser hat weniger Rechte, z.B. keine Schreibrechte im Systemverzeichnis. D.h. Software die im eingeschränkten Konto läuft hat die selben Rechte wie der Benutzer.

Voraussetzung ist das Dateisystem NTFS.
 
  • #22
Schau mal bitte nach wo der folgende Prozess gestartet wird

O4 - HKCU\..\Run: [Shell API32] svcnet.exe
Zum Vergrößern anklicken....

Dies kannst Du am besten mit dem Sysinternals Process-Explorer tun.

Kann sich um Malware handeln, sollte nicht im Systemverzeichnis liegen. Eventuell separieren.
http://www.sophos.de/virusinfo/analyses/trojtibikb.html

Oder vorher hier nochmal nachfragen.

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
Zum Vergrößern anklicken....

Diese bitte versuchen mit Spybot Search & Destroy zu entfernen.
 
  • #23
erstmal vielen dank, dass du dir so viel mühe machst :)


zu dem, was ich gemacht hab:

zuerst habe ich im abgesicherten modus neu gestartet und svchosts.exe wie auf http://www.sophos.de/virusinfo/analyses/w32sdbotlm.html beschrieben entfernt. dann hab ich trend micro laufen lassen, der daraufhin nichts mehr fand. schließlich lies ich spybotSD laufen, aber der hat nur andere dinge gefunden und nich dieses new.net dingen.. obwohl mir hijackthis sagt, dass der das automatisch entfernen könnte ??? naja, dann hab ich hijackthis laufen lassen, der hat svchosts.exe auch nicht mehr angezeigt.. danach hab ich die avmtapi.tsp gelöscht, weil kernell32.dll sich schon verflüchtigt hatte. dann lies ich trend micro nochens laufen und hab die quaratine section gelöscht, da waren 2ma kernell32.dll drin, obwohl er ja eigentlich nix gefunden hatte ??? naja.. jedenfalls war dieser drecksvirus nach dem neustart immer noch da.. svchosts.exe hatte es sich auch wieder gemütlich gemacht und new.net verschmutzt weitherhin meinen schönen laptop :(

dann hab ich - nicht im abgesicherten modus - sysinternals process-explorer gestartet und nach svchosts.exe gesucht.. der hat den dann auch gefunden, anders, als beim ersten versuch.. das waren so 4 oder 5 einträge.. die haben sich aber auch beim anklicken auf sehr mysteriöse weise unsichtbar gemacht, wobei hijackthis die noch findet.. ich hatte aber leider keine möglichkeit, herauszufinden, wo das herkommt

edit: achja, sybot findet die ganze zeit son DSO Exploit, auch, nachdem er das repariert hat, 2ma.. er sagt mir irgendwas mit registrierungsdatenbank-änderung
 
  • #24
Die DSO-Exploit-Meldungen von Spybot sind ein Bug von Spybot, der allerdings schon länger behoben ist, lade dir mal die neuesten Updates runter, dann müsste es weg sein.

Ich vermute, du hast bei deiner Säuberungsaktion die Systemwiederherstellung nicht deaktiviert?
Solltest du tun, viele Schädlinge nisten sich dort ein und sind nach einem Reboot dann wieder da.

Erst wenn Deine Kiste richtig sauber ist wieder aktivieren.
 
  • #25
Dakota schrieb:
Die DSO-Exploit-Meldungen von Spybot sind ein Bug von Spybot, der allerdings schon länger behoben ist, lade dir mal die neuesten Updates runter, dann müsste es weg sein.

Ich vermute, du hast bei deiner Säuberungsaktion die Systemwiederherstellung nicht deaktiviert?
Solltest du tun, viele Schädlinge nisten sich dort ein und sind nach einem Reboot dann wieder da.

Erst wenn Deine Kiste richtig sauber ist wieder aktivieren.
Zum Vergrößern anklicken....

doch, hab ich deaktiviert, wurde mir hier gesagt.. das mit dem update mach ich jetzt ma :)

edit: ich hab da jetzt auf update da geklickt und der findet immer noch dieses DSO dingen.. geht das mit dem update nich, muss ich da was extra runterladen?
 
  • #26
Hi....

klar, wenn du update drückst und er findet welche, musst du die auswählen und dann update runterladen drücken, der Button ist oben rechts (glaub ich).


Ausserdem nicht vergessen, ganz links ist ein Button immunisieren, den ebenfalls drücken.

Ich würde mir auch noch Ad-Aware SE runterladen, der ergänzt sich prächtig mit Spybot. Ich hab auch gute Erfahrungen mit Spywareblaster gemacht, der sich ebenfalls prima mit Spybot verträgt.

Es ist auch nicht von Nachteil, wenn man Hijackthis und CWS-Shredder hat......   zur Zeit grassiert ja wieder die Malware-Epedemie.

edit:
sehe, dass du Hijackthis ja schon hast. Lass aber beim nächsten Scan den IE geschlossen, am Besten ausser Virenscanner und Firewall gar keine Anwendung offen halten, dann wird das Log übersichtlicher.
 
  • #27
Dakota schrieb:
Hi....

klar, wenn du update drückst und er findet welche, musst du die auswählen und dann update runterladen drücken, der Button ist oben rechts (glaub ich).


Ausserdem nicht vergessen, ganz links ist ein Button immunisieren, den ebenfalls drücken.

Ich würde mir auch noch Ad-Aware SE runterladen, der ergänzt sich prächtig mit Spybot. Ich hab auch gute Erfahrungen mit Spywareblaster gemacht, der sich ebenfalls prima mit Spybot verträgt.

Es ist auch nicht von Nachteil, wenn man Hijackthis und CWS-Shredder hat......   zur Zeit grassiert ja wieder die Malware-Epedemie.

edit:
sehe, dass du Hijackthis ja schon hast. Lass aber beim nächsten Scan den IE geschlossen, am Besten ausser Virenscanner und Firewall gar keine Anwendung offen halten, dann wird das Log übersichtlicher.
Zum Vergrößern anklicken....

hab ich alles schon gemacht, bis auf das letzte, aber is ja nur wegen der übersichtlichkeit..
 
  • #28
so siehts im moment im abgesicherten modus bei mir aus:

Logfile of HijackThis v1.99.0
Scan saved at 02:44:16, on 29.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mtv.de/pimpmyride/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [pccguide.exe] C:\Programme\Trend Micro\Internet Security\pccguide.exe
O4 - HKLM\..\Run: [PCClient.exe] C:\Programme\Trend Micro\Internet Security\PCClient.exe
O4 - HKLM\..\Run: [TM Outbreak Agent] C:\Programme\Trend Micro\Internet Security\TMOAgent.exe /run
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MessengerPlus3] D:\Programme\MSN Plus Beta\MsgPlus.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\CloneCD\CloneCDTray.exe /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Ützwurst.LNK = ?
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Hotkey.lnk = C:\Programme\Asus\ASUS Hotkey\Hotkey.exe
O4 - Global Startup: SiWake.lnk = C:\Programme\Wireless LAN Utility\SiWake.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: SpySubtract.lnk = C:\Programme\InterMute\SpySub.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite 4.14\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite 4.14\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/306f392b7cc12d6e0d19/netzip/RdxIE601_de.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{281B0A73-1D98-4BAC-8D29-800F4759CBF1}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{281B0A73-1D98-4BAC-8D29-800F4759CBF1}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{281B0A73-1D98-4BAC-8D29-800F4759CBF1}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Trend Micro Personal Firewall - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\tmproxy.exe

gibts noch was, was entfernt werden muss?


so.. zu dem virus: ich hab mir jetzt son fileshredder geholt, den ich aber noch nich anweden konnte, weil der virus im moment nur beim öffnen von textdateien auftaucht und sich dann direkt löschen lässt, aber halt immer wieder kommt.. vorher war der die ganze zeit beim starten schon da und lies sich auch nich löschen. merkwürdige sache, aber is halt ein virus, was will man davon erwarten.. also, wenn der das nächste ma beim start da is, werd ich kernell32.dll ma ein bisschen shreddern, ma sehen, was ich davon hab..
 
  • #29
Im abgesicherten Modus sieht dein Logfile sauber aus, aber die Bösewichter starten ja im normalen Modus erst wieder mit.

Wenn Du das Zeug nicht runter bekommst, bleibt Dir eigentlich ja nur eine Neuinstallation, oder?

Hat den Vorteil das dein System dann wirklich sauber ist.
stillfly schrieb:
formatieren würd ich nich so gerne, weil ich trend micro nich auf cd hab, das war beim kauf auf der festplatte mit drauf und wenn das weg wär, wär schon was dumm... und einfach auf d: kopieren is ja auch so ne sache, wenn dann der registry eintrag weg is ???
Zum Vergrößern anklicken....

Wäre ärgerlich.
Programm ist auf keiner CD? Auch nicht auf der vom Mainboard?

Es gibt aus meiner Sicht auch gute und kostenlose AV-Programme.
z.B. Avast
 
  • #30
bla schrieb:
Im abgesicherten Modus sieht dein Logfile sauber aus, aber die Bösewichter starten ja im normalen Modus erst wieder mit.

Wenn Du das Zeug nicht runter bekommst, bleibt Dir eigentlich ja nur eine Neuinstallation, oder?

Hat den Vorteil das dein System dann wirklich sauber ist.
stillfly schrieb:
formatieren würd ich nich so gerne, weil ich trend micro nich auf cd hab, das war beim kauf auf der festplatte mit drauf und wenn das weg wär, wär schon was dumm... und einfach auf d: kopieren is ja auch so ne sache, wenn dann der registry eintrag weg is ???
Zum Vergrößern anklicken....

Wäre ärgerlich.
Programm ist auf keiner CD? Auch nicht auf der vom Mainboard?

Es gibt aus meiner Sicht auch gute und kostenlose AV-Programme.
z.B. Avast
Zum Vergrößern anklicken....

im normalen modus sieht das genauso aus.. ich hab festgestellt, dass im new.net ordner ein uninstall is ;D


ne, das programm is nirgendwo, das is auch keine registrierte version, müsste ich im juli dann kaufen, sagt der mir andauernd ;)
im moment meldet sich der virus nur beim öffnen von .t.xt-dateien und kann dan auch gelöscht werden.. ich warte darauf, dass der wieder direkt beim starten kommt und ich ihn shreddern kann ;)
 
  • #31
also.. der kam jetzt zwar nich mehr beim starten, aber ich hab das virenprogramm ma so eingestellt, dass der nix macht, wenn er den virus bemerkt und deswegen konnte ich die dateien shreddern. der virus kommt aber immer noch, also muss da wohl noch ne 3. datei sein, oder?
 
  • #32
sieht so aus, als wenn der virus weg wär (red ich eigentlich mit mir selber? :-\ ), naja, egal :D jedenfalls hat trend micro gestern ein update gemacht, wie jeden tag, nur diesma scheint die richtige virendefinition dabei gewesen zu sein, er hat nämlich noch 3 weitere infizierte dateien gefunden.. und das waren _textpad.exe, system.bin und die exe datei vom acrobat reader. ich hab dann erstma den acrobat reader deinstalliert und plötzlich hatte ich ganz andere erscheinungen bei der sache.. die kernell32.dll war komplett verschwunden und kam auch nich wieder. allerdings wollte er jetzt beim öffen von sämtlichen textdateien diese drucken, naja, kann mir egal sein, ich hab am laptop kein drucker und der netzwerkdrucker war grad nich verbunden mitm netzwerk. so.. ich habb dann einfach ma _textpad.exe gelöscht, unter dem verdacht, dass der editor dann ganz weg is, aber ich dachte mir, irgendwie werd ich den wohl wiederbekommen. aber er war nich weg und das hat auch nix geändert, erst nachdem ich neu gestartet hab. jetzt sieht nämlich alles sehr normal aus, außer, dass system.bin noch in quarantäne is, er da aber beim scan keinen virus drin findet. meint ihr, ich kann die aus der quarantäne nehmen oder geht dann alles wieder von vorne los?

edit: ich merk grad, dass ich system.bin mit system.drv verwechselt hab, weil der die endungen nich angezeigt hab und system.bin gar nich existiert.. wenns nich existiert, kann ichs doch auch löschen, oder? ::)
 
Thema:

backdoor-cma.dll oder bkdr_cma.dll

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.961
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben