Virus/Trojaner "BDS/Aforce.AB" ??

ShrinersPark · 07.02.2004, 09:20

Hallo zusammen,

mein Virenwächter AntiVir zeigt mir jedesmal wieder folgende Meldung:
"Verdächtige Datei gefunden!
Datei C:\Windows\System32:gcmxjhb.dll
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Aforce.AB!"

Ich kann die Datei weder löschen, noch kann ich sie finden. Allerdings taucht sie unter Msconfig auf, aber auch dort bekomme ich sie nicht raus.

Was tun?

Gruß,
Shriners*

07.02.2004, 11:25

Lade dir HijackThis:
http://www.chip.de/downloads/c_downloads_11353576.html

Nach dem Scan postest du hier dein Logfile rein.

ShrinersPark · 07.02.2004, 17:06

"Nach dem Scan postest du hier dein Logfile rein."

Hi,

habe gerade mit "Hijack this" gescannt und folgendes Log angezeigt bekommen:

Logfile of HijackThis v1.97.7
Scan saved at 17:04:16, on 07.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AOL 8.0a\waol.exe
C:\Programme\AOL 8.0a\shellmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Frauke\Desktop\HijackThis.exe
C:\Programme\HyperSnap-DX 4\HprSnap.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [gcmxjhb] rundll32 C:\WINDOWS\System32:gcmxjhb.dll,Init 1
O4 - HKLM\..\RunOnce: [*gcmxjhb] rundll32 C:\WINDOWS\System32:gcmxjhb.dll,Init 1
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{22158236-AD83-4E18-BDB3-6B48854ECE05}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CDD80C5-F4CD-41FF-8D1A-3874D1017050}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DA1B665-ED4F-4FFC-8086-2DBE3F47B804}: NameServer = 195.93.68.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{22158236-AD83-4E18-BDB3-6B48854ECE05}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{22158236-AD83-4E18-BDB3-6B48854ECE05}: NameServer = 192.168.0.1

Help?

Cheers, Shriners*

sPaCeLoRd · 07.02.2004, 18:41

Einfach löschen ist nicht, da der Trojaner sich in den NTFS-Stream einklinkt.
Deinstallieren:

1) Start ->Ausführen -> cmd
Enter
2) Im DOS-Fenster eingeben:
rundll32 C:\WINDOWS\System32:gcmxjhb.dll
,Uninstall
(auf exakt richtige Schreibweise achten)
Enter
3) Ggf. Reste entfernen mit HijackThis.

Angeblich entfernt das Tool CRAV auch Afcore, ob diese Variante, weiß ich allerdings nicht.
Falls du's versuchen willst:
ftp://ftp.kaspersky.com/utils/clrav.zip

sPaCeLoRd · 07.02.2004, 18:42

rundll32 C:\WINDOWS\System32:gcmxjhb.dll,Uninstall

ShrinersPark · 07.02.2004, 23:08

Hey cool,

vielen Dank für den Tipp, hat 1a geklappt [img]graemlins/lach.gif[/img]

Thx,
Shriners*
[img]graemlins/bussi.gif[/img]

07.02.2004, 11:25	#2
Christian Gast	Virus/Trojaner "BDS/Aforce.AB" ?? Lade dir HijackThis: http://www.chip.de/downloads/c_downloads_11353576.html Nach dem Scan postest du hier dein Logfile rein. __________________

Virus/Trojaner "BDS/Aforce.AB" ??

Plagegeister aller Art und deren Bekämpfung: Virus/Trojaner "BDS/Aforce.AB" ??