hallo zusammen.

ich bekomme seit 2 tagen laufen folgende meldung vom antivir:

c:\windows\system32\ntswrl32.dll

enthält eine signatur des gefährlichen backdoorprogrammes BDS/Cakl.A.2

egal welche option ich anschließend auswähle (löschen, zugriff verweigern, etc.) springt das fenster wieder auf. nach einiger zeit kommt sogar noch ein zweites solches fenster hinzu mit der selben meldung.

hab schon unter googl oder auch in eurer suche nach nem solchen virus gesucht aber bisher nix gefunden.

hoff mir kann jemand helfen
mfg
Iceling

Zitat:

Zitat von Iceling

hab schon unter googl oder auch in eurer suche nach nem solchen virus gesucht aber bisher nix gefunden.

http://www.sophos.de/virusinfo/analy...ojbdooryp.html

Erstelle bitte kurz ein HJT-Log damit wir sehen, ob es sich wirklich um diesen Kandidaten handelt.

Anleitung HJT

Logfile of HijackThis v1.99.1
Scan saved at 00:43:02, on 28.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\sistray.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\DOWNLO~2\VOLUME~1\MT.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\telefontarif\FonTipp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Sepp\Desktop\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.1/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [FonTipp] C:\Programme\telefontarif\start.exe min
O4 - HKLM\..\Run: [Meine Traffic] C:\DOWNLO~2\VOLUME~1\MT.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [scvchost] C:\WINDOWS\system32\scvchost.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093794856031
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0045A44-F903-437D-9E8E-9D3C0303DE75}: NameServer = 192.168.178.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Zitat:

C:\DOWNLO~2\VOLUME~1\MT.EXE

Bekannt/gewollt? Im Zweifel immer lieber bei Jotti oder Virustotal auswerten lassen und Ergebnisse hier posten.

Zitat:

C:\Programme\Java\jre1.5.0_01\bin\jusched.exe

Diese Java-Version ist obsolet...

Zitat:

O4 - HKLM\..\Run: [scvchost] C:\WINDOWS\system32\scvchost.exe

Und das ist definitiv Mist! Die Datei C:\WINDOWS\system32\scvchost.exe bitte auswerten lassen (Jotti, wenn überlastet Virustotal). Links und Anleitungen siehe unten, Signatur...

Lass mal die Dateien

c:\windows\system32\ntswrl32.dll
C:\WINDOWS\system32\scvchost.exe

bei virustotal prüfen.

Gut sieht es aber nicht aus.

C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
kommen mir nicht koscher vor aber nicht gleich löschen bitte auf en andren profis warten da ich gerne mitlerne obs ich auch richtig gefunden habe

p.s.: da war MM schneller

Zitat:

C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

The default location for sistray.exe is %WINDOWS%/System32/
http://process.networktechs.com/sistray.exe.php

http://www.file.net/prozess/mixer.exe.html

Im Zweifelsfall kann man solche Dateien prüfen lassen, aber ich glaube der TO hat schon genug Probleme wenn sich die Verdachtsmomente bezüglich Backdoor erhärten sollten.

SiS Tray dürfte i.O. sein, Treiber für SiS-VGA onBoard wenn ich mich nicht irre...
Der "Mixer" sollte auch legitim sein...

<edit> MANN immer ist der Marc schneller! </edit>

Habe selbes Problem! Bitte um Hilfe!


Logfile of HijackThis v1.99.1
Scan saved at 15:26:44, on 05.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
D:\programme\Logitech\iTouch\iTouch.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
D:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Dokumente und Einstellungen\Standard\Desktop\utorrent.exe
D:\programme\WinAmp5\Winamp\winamp.exe
D:\programme\Common\Bin\WinCinemaMgr.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe
C:\WINDOWS\system32\vssms32.exe
D:\programme\MozillaFirefoxBrowser\firefox.exe
C:\Dokumente und Einstellungen\Standard\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {BD7305A7-9483-7E91-B02A-57B8DEEFA2FF} - C:\DOKUME~1\Standard\ANWEND~1\SURFLI~1\Show Online.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sendextrawinping] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\roadtypesendextra\PopMode.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows ExpIore] C:\WINDOWS\system32\expIorer.exe
O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe
O4 - HKLM\..\RunOnce: [GrpConv] grpconv.exe -o
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{F41CF~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{F41CF~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup1] C:\PROGRA~1\INSTAL~1\{A7857~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{A7857~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup2] C:\PROGRA~1\INSTAL~1\{8F6E4~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{8F6E4~1\reboot.ini -l0x9
O4 - HKCU\..\Run: [LDM] D:\programme\Logitech\\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [wayproxy] C:\DOKUME~1\Standard\ANWEND~1\HTMMET~1\Tick User.exe
O4 - HKCU\..\Run: [Windows ExpIore] C:\WINDOWS\system32\expIorer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\programme\ICQLite\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {D2E5C9D1-6918-4AC1-9846-3C718F1A330D} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {D2E5C9D1-6918-4AC1-9846-3C718F1A330D} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {EC2E44A7-9516-47C5-A4C9-96C85F6E1D8E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {EC2E44A7-9516-47C5-A4C9-96C85F6E1D8E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDC85FEE-1C32-4EC5-BF07-17B878C7EBDA}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe