Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Cakl.A.2

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.10.2006, 18:55   #1
killver
 
Cakl.A.2 - Standard

Cakl.A.2



Hallo,

hab mir vor zwei Tagen einen unglaublich nervigen Backdoortrojaner mit dem Namen Cakl.A.2 eingefangen. Betroffen sind wohl die Dateien ntswrl32.dll und ldapi32.exe (beide im system32 Ordner).
Habe sowohl Antivir, als auch AVG Anti-Spyware drüberlaufn lassn. Antivir erkennt so beim prüfen nicht einmal was, gibt aber andauernd eine Virenwarnung der Datei ntswrl32.dll aus. Anti-Spyware hat den Trojaner erkannt und auch gelöscht, nach Neustart aba wieder alles da.
In den abgesicherten Modus komme ich nicht, Wiederherstellungspunkt habe ich nicht und die Dateien lassen sich mit diversen Tools nicht löschen, z.B Killbox.

Das komische ist, dass www.virustotal.com bei keinen der beiden Dateien einen Virus erkennen kann. Achja und in der Wiederherstellungskonsole kann ich die Dateien auch nicht löschen, weil sie nicht da sind...

Hier mein HijackThis Logfile:

Logfile of HijackThis v1.99.1
...
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:

http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]

Finde nun die zwei Dateien auch komischerweise nicht mehr im system32 Ordner, trotzdem bekomm ich öfter die virusmeldung, vor allem beim neu hochfahren!!!

Ich hab mein System nun schon so lange laufen und ich mag nicht neu installieren, da würd so viel verloren gehen. Bitte um Hilfe!!!!

MFG Killver

Alt 19.10.2006, 07:53   #2
nochdigger
 
Cakl.A.2 - Standard

Cakl.A.2



mOIn

Zitat:
Zitat von killver
ich mag nicht neu installieren, da würd so viel verloren gehen. Bitte um Hilfe!!!!
Bei einem aktiven Backdoor, wirst du hier aber kaum einen anderen Tip erhalten
Was hättest im fall eines Festplattencrashes gemacht?

Zitat:
Zitat von killver
Ich hab mein System nun schon so lange laufen ...
Ein Grund mehr den Rechner mal neu zu installieren.

Vllt. macht das hier und besonders die Punkte Hintertür und Diebstahl die Entscheidung etwas leichter, aber das mußt du wissen.

MFG
__________________


Alt 19.10.2006, 15:11   #3
Alanis
 
Cakl.A.2 - Standard

Cakl.A.2



Cakl ist ein Passwortdieb. Sprich, wenn's Dir nicht wichtig ist, daß jemand auf EBay, Amazon und co auf Deine Rechnung einkauft, von Deinem PayPal Konto die Kohle zu sich überweist, Deinen Mailaccount zum Spamversandt nutzt (und Dich damit auf so ziemlich jede Blacklist der Welt bringt) usw., dann kannst Du das Problem getrost ignorieren.

Zusätzlich hat er, wie Du anhand der "nicht vorhandenen" Dateien schon bemerkt hast, die Fähigkeit seine Dateien vor Dir, Deinem System und Deinem Virenkiller zu verstecken. Außerdem manipuliert er die Systemwiederherstellung und den "Abgesicherten Modus", wodurch eine Reparatur auch nicht grad leichter wird.

Du kannst im Prinzip das nun Folgende probieren. Erfolg würde ich dem Ganzen keinen zusprechen, auch bin ich fern davon sicher zu sein, daß man ihn dadurch vollständig entfernen kann, aber die Alternative dazu ist nur die Kiste neu aufzusetzen.

Also:

Such in der Registry nach dem Key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vms32 und lösche ihn.
Mach einen Neustart und schau ob der Key wirklich weg ist. Falls nicht, nochmal löschen.
Suche den Prozess VMS32.exe und beende ihn. Bete daß es funktioniert.
Falls ja, such die Datei c:\windows\system32\vms32.exe (bzw. wie das %system% Verzeichnis halt bei Dir heißt) und (sofern Du sie sehen kannst) lösch sie. Versuch's auch über die Eingabeaufforderung, gelegentlich übersehen das die Virenschreiber.
Neustart (beten nicht vergessen)
Such im Windowsverzeichnis nach der Datei hkr32.asm und lösche sie. Wieder per Kommandozeile falls notwendig.
Und anschließend noch ldapi32.exe, ntcvx32.dll und ntswrl32.dll, alle im System32 Verzeichnis.

Ganz gelöst ist das Problem damit nicht, weil Du immer noch keinen abgesicherten Modus und keine Systemwiederherstellung zustandebringen wirst, und das System insgesamt nicht mehr das stabilste ist.

Wie gesagt, durch die Rootkitfähigkeiten des Ganzen kannst Du nie sicher sein, daß er vollständig entfernt ist. Und hier geht's um Deine Paßwörter (die Du, so nebenbei, jetzt ändern solltest). Überleg Dir also, ob es nicht insgesamt doch besser ist sicherzugehen und das System neu aufzusetzen.
__________________

Alt 19.10.2006, 19:22   #4
killver
 
Cakl.A.2 - Standard

Cakl.A.2



Hatte nur mehr ntcvx32.dll am Rechner (diese ließ sich ohne probs löschen). Auch der reg EIntrag war nicht da. Bekomm auch keine Warnungen mehr...jetzt teste ichmal ob abgesicherter Modus funzt...komisch!

edit: abgesicherter Modus funzt nicht, sonst alles...wie kann ich mir sicher gehen, ob mein System wieder clean ist?

Geändert von killver (19.10.2006 um 19:31 Uhr)

Alt 19.10.2006, 23:02   #5
Alanis
 
Cakl.A.2 - Standard

Cakl.A.2



Im Prinzip nur, indem Du von einem sicher nicht infizierten System bootest und nachsiehst ob die Dateien wirklich weg sind. Die Tatsache daß Du weder den Registryeintrag noch die Dateien siehst bedeutet lediglich, daß sie entweder weg sind oder der Trojaner noch aktiv ist und sie versteckt.

Bis zum nächsten Neuaufsetzen wird's keine Sicherheit geben.


Alt 20.10.2006, 13:09   #6
killver
 
Cakl.A.2 - Standard

Cakl.A.2



Virenschutz erkennt auch nix mehr...wär so toll wenn der weg wär...gibts keine einfache Möglichkeit das zu überprüfen? Bitte um Vorschläge....

Antwort

Themen zu Cakl.A.2
.dll, abgesicherten modus, antivir, avg, backdoor, backdoortrojaner, bitte um hilfe, black, dateien, diverse, erkannt, gelöscht, hijack, hijackthis, hijackthis logfile, hilfe!, hilfe!!, hilfe!!!, links, logfile, löschen, namen, neustart, nicht mehr, ordner, prüfen, system, system32, warnung



Ähnliche Themen: Cakl.A.2


  1. problem mit bds/cakl.a.2
    Plagegeister aller Art und deren Bekämpfung - 30.04.2008 (9)
  2. Problem mir BDS/Cakl.A.2
    Log-Analyse und Auswertung - 18.12.2006 (1)
  3. Windows Abgesicherter Modus BDS/Cakl.a.2
    Log-Analyse und Auswertung - 08.11.2006 (2)
  4. problem mit bds/cakl.A.2
    Plagegeister aller Art und deren Bekämpfung - 15.10.2006 (13)
  5. Backdoor.Cakl.A
    Log-Analyse und Auswertung - 03.10.2006 (10)
  6. Backdoor.Cakl A-D
    Antiviren-, Firewall- und andere Schutzprogramme - 26.09.2006 (2)
  7. Backdoor.Win32.Cakl.a entfernen
    Plagegeister aller Art und deren Bekämpfung - 13.07.2006 (9)
  8. Trojaner BDS/Cakl.A.2 und A.1
    Plagegeister aller Art und deren Bekämpfung - 05.07.2006 (17)
  9. Backdoor.Win32.Cakl.a GEFUNDEN
    Plagegeister aller Art und deren Bekämpfung - 14.05.2006 (9)

Zum Thema Cakl.A.2 - Hallo, hab mir vor zwei Tagen einen unglaublich nervigen Backdoortrojaner mit dem Namen Cakl.A.2 eingefangen. Betroffen sind wohl die Dateien ntswrl32.dll und ldapi32.exe (beide im system32 Ordner). Habe sowohl Antivir, - Cakl.A.2...
Archiv
Du betrachtest: Cakl.A.2 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.