Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor.Win32.VB.bco

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.07.2007, 14:20   #1
Maxtasy
 
Backdoor.Win32.VB.bco - Standard

Backdoor.Win32.VB.bco



Hallo Leute,
ich habe ein problem und hoffe, dass ihr mir behilflich sein könnt:
Habe gerade mein rechner eingeschaltet und bekam glaich eine Meldung von Kaspersky, dass sich ein Trojanisches Pferd auf meiner Festplatte befindet.
Name: Backdoor.32.VB.bco
im Objekt C:\WINDOWS\system32\cdm.exe

jetzt wird natürlich von Kaspersky empfohlen das Objekt zu löschen, doch wenn ich das tue kommt in einer weiteren Fehlermeldung, dass das Löschen des Objekts nicht möglich sei. "Felende Rechte oder Zugriff auf das Objekt verboten" heißt es.

Weiter habe ich versucht das Objekt manuell zu löschen, doch es reproduziert sich automatisch und nach wenigen sekunden befindet sich das Objekt erneut am selben Ort.

Ich hoffe, ihr kommt mit meiner Beschreibung zurecht und könnt mir weiterhelfen. Habe meinen PC erst vor wenigen wochen formatiert und hoffe, dass man auch eine einfachere lösung findet.

Mfg,
Maxtasy

Alt 30.07.2007, 14:26   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.VB.bco - Standard

Backdoor.Win32.VB.bco



Hallo.

Werte die fragliche Datei bitte online bei Virustotal aus und poste alle Ergebnisse inkl. Dateigröße und Prüfsummen.

Poste auch gleich ein Hijackthis-Logfile.
__________________

__________________

Alt 30.07.2007, 15:01   #3
Maxtasy
 
Backdoor.Win32.VB.bco - Standard

Backdoor.Win32.VB.bco



Das kam bei Virustotal raus:


Hier noch das Logfile (hoffe, dass ich es richtig gepostet habe):

Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 15:33:32, on 30.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cdm.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\RunDLL32.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Pidgin\pidgin.exe
C:\Dokumente und Einstellungen\...\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
         
__________________

Alt 30.07.2007, 15:06   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.VB.bco - Standard

Backdoor.Win32.VB.bco



Du hast leider nicht die Datei ausgewertet, die ich meinte und die dir angezeigt wurde.

Auswerten solltest du => C:\WINDOWS\system32\cdm.exe

cmd.exe ist eine legitime Windowsdatei, der Kommandozeileninterpreter!

Dein Hijackthis-Logfile sieht erstaunlich sauber aus, allerdings fehlt bei dir das SP2 und nat. die Folgepatches.

Warten wir erst die Auswertung ab.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.07.2007, 15:21   #5
Maxtasy
 
Backdoor.Win32.VB.bco - Standard

Backdoor.Win32.VB.bco



oh ja, hab es gerade auch bemerkt, sorry...

wenn ich die ...\cdm.exe zu virustotal senden will, dann kommt folgendes:
"0 bytes size received / Se ha recibido un archivo vacio"
wenn ich dann aber in meinem system 32 ordner die datei anschaue ist sie 486kb groß.


Alt 30.07.2007, 15:24   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.VB.bco - Standard

Backdoor.Win32.VB.bco



Okay, dann müssen wir den anders auswerten. Besorg dir killbox (link siehe Signatur).

1. Starte Killbox.
2. Kopier den Pfad zur Schädlingsdatei also C:\WINDOWS\system32\cdm.exe in das Adressfeld.
3. Markier die Option "Delete on reboot".
4. Drück auf das rote Schild mit dem weißen X.
5. Die aufpoppende Frage mit ja beantworten, das System sollte neu starten.
6. Die auszuwertende Datei sollte sich nun in C:\!killbox befinden.
7. Werte die Datei C:\!killbox\cdm.exe aus und poste die Ergebnisse.
__________________
--> Backdoor.Win32.VB.bco

Alt 30.07.2007, 15:38   #7
Maxtasy
 
Backdoor.Win32.VB.bco - Standard

Backdoor.Win32.VB.bco



oh mann das gibts doch nicht,
wenn ich das programm killbox starten möchte kommt auch ein fehler:
"Component 'MSCOMCTL.OCX' or one of its dependencies not correctly registered: a file is missing or invalid"

danke schonmal für deine hilfe

Alt 30.07.2007, 15:43   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.VB.bco - Standard

Backdoor.Win32.VB.bco



Ich glaub dann können wir hier an der Stelle abbrechen.

Man kann mittlerweile davon ausgehen, dass dein System kompromittiert und zerschossen ist, einfachste Programme wie killbox lassen sich ja nicht mehr starten. cdm.exe scheint lt. Kaspersky Backdoorfunktionen zu haben, belastend kommt hinzu, dass dein System ungepatcht ist (fehlendes SP2!).

Folge dem Link neu aufsetzen in meiner Signatur.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.07.2007, 15:48   #9
Maxtasy
 
Backdoor.Win32.VB.bco - Standard

Backdoor.Win32.VB.bco



ok, vielen dank für deine schnellen und informativen antworten.
dann bleibts mir wohl nichts anderes übrig als meinen pc zu formatieren.
ist es riskant noch daten von meiner festplatte auf eine externe festplatte zu kopieren um sie zu sichern, oder sollte es da keine probleme geben?
wäre schade, wenn alle meine daten verloren gingen...

Alt 30.07.2007, 15:54   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.VB.bco - Standard

Backdoor.Win32.VB.bco



Du solltest deine Daten immer regelmäßig sichern, nicht erst dann wenn alles zu spät ist - deine Festplatte kann auch von heute auf morgen kaputt gehen, es muss nicht immer Schädlingsbefall sein.

Daten kannst du noch sichern, solltest du aber von einem Fremdsystem (Knoppix, BartPE) auf die externe Platte kopieren. Und sichere nur reine Datendateien wie Videos, Bilder, Dokumente und so, keine Programme!

Wenn du neu aufgesetzt hast, sieht zu dass das SP2 als erstes raufkommt. Der Rest und alle weiteren Details stehen in der Anleitung.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.07.2007, 16:21   #11
Maxtasy
 
Backdoor.Win32.VB.bco - Standard

Backdoor.Win32.VB.bco



warum kompliziert, wenns auch einfach geht?
hab jetzt noch ein bisschen rumprobiert und habe über den taskmanager den prozess cdm.exe beendet, dann schnell auf "Objekt löschen" bei Kaspersky und nun existiert das Objekt nichtmehr :aplaus:
hoffentlich war das wirklich so einfach, wie es aussieht. jedenfalls hat es sich bis jetzt noch nicht wieder reproduziert.

Sichern werde ich meine Daten trotzdem. Is auch nicht so, dass ich nie meine daten sicher, aber innerhalb von 2 wochen sammelt sich da schon einiges an.
Mfg,
Maxtasy

Alt 30.07.2007, 16:23   #12
inFiniTY
Gesperrt
 
Backdoor.Win32.VB.bco - Standard

Backdoor.Win32.VB.bco



und schon wieder ein opfer einer komprommitierung

Alt 30.07.2007, 16:58   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.VB.bco - Standard

Backdoor.Win32.VB.bco



Zitat:
warum kompliziert, wenns auch einfach geht?
Die Auswirkungen einer Backdoor hast du nicht verstanden
Wunder dich aber nicht, wenn irgendwann die Kripo bei dir kingeln sollte.

Schädlinge entferen
System nach Infektion neu aufsetzen

Lies dir das bitte durch!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Backdoor.Win32.VB.bco
automatisch, c:\windows, erneut, fehlermeldung, festplatte, kaspersky, leute, löschen, lösung, meldung, natürlich, nicht möglich, pferd, platte, problem, rechner, rechte, sekunden, sich automatisch, system, system32, trojanisches, trojanisches pferd, windows, woche, wochen, zugriff



Ähnliche Themen: Backdoor.Win32.VB.bco


  1. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  2. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  3. Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph
    Log-Analyse und Auswertung - 10.07.2012 (28)
  4. Backdoor:Win32/Cbot.B - Trojan:Win32/FakeSysdef
    Log-Analyse und Auswertung - 04.05.2011 (32)
  5. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  6. Backdoor:Win32/IRCbot.gen!M und Win32/Oficla.V
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (1)
  7. Backdoor.Win32.Gootkit.jd
    Plagegeister aller Art und deren Bekämpfung - 27.08.2010 (5)
  8. Backdoor.Win32.Bredolab.fu
    Plagegeister aller Art und deren Bekämpfung - 13.08.2009 (3)
  9. Backdoor.Win32.Rbot!IK und Win32.SuspectCrc!IK 1
    Plagegeister aller Art und deren Bekämpfung - 14.07.2009 (4)
  10. Backdoor.Win32.Agent.tpi und Packed.Win32.Black.a
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (4)
  11. WIN32.Backdoor.Agent
    Log-Analyse und Auswertung - 05.12.2008 (0)
  12. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  13. Trojan.Win32.Sphinx.a+Backdoor.Win32.agent.zq+HJT-log
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)
  14. Backdoor.Win32.Optix.Pro.13
    Plagegeister aller Art und deren Bekämpfung - 04.02.2006 (12)
  15. Backdoor.Win32.Y3K.Rat.10
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (11)
  16. Backdoor.Win32.PoeBot.a
    Plagegeister aller Art und deren Bekämpfung - 16.12.2004 (9)
  17. Backdoor.Win32.Nuclear.b,was ist das?
    Plagegeister aller Art und deren Bekämpfung - 14.11.2004 (6)

Zum Thema Backdoor.Win32.VB.bco - Hallo Leute, ich habe ein problem und hoffe, dass ihr mir behilflich sein könnt: Habe gerade mein rechner eingeschaltet und bekam glaich eine Meldung von Kaspersky, dass sich ein Trojanisches - Backdoor.Win32.VB.bco...
Archiv
Du betrachtest: Backdoor.Win32.VB.bco auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.