Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   problem mit bds/cakl.A.2 (https://www.trojaner-board.de/28837-problem-bds-cakl-a-2-a.html)

Iceling 27.04.2006 23:14
problem mit bds/cakl.A.2
 
hallo zusammen.

ich bekomme seit 2 tagen laufen folgende meldung vom antivir:

c:\windows\system32\ntswrl32.dll

enthält eine signatur des gefährlichen backdoorprogrammes BDS/Cakl.A.2

egal welche option ich anschließend auswähle (löschen, zugriff verweigern, etc.) springt das fenster wieder auf. nach einiger zeit kommt sogar noch ein zweites solches fenster hinzu mit der selben meldung.

hab schon unter googl oder auch in eurer suche nach nem solchen virus gesucht aber bisher nix gefunden.

hoff mir kann jemand helfen
mfg
Iceling

MightyMarc 27.04.2006 23:34
Zitat:
Zitat von Iceling
hab schon unter googl oder auch in eurer suche nach nem solchen virus gesucht aber bisher nix gefunden.
http://www.sophos.de/virusinfo/analy...ojbdooryp.html

Erstelle bitte kurz ein HJT-Log damit wir sehen, ob es sich wirklich um diesen Kandidaten handelt.

Anleitung HJT

Iceling 27.04.2006 23:45
Logfile of HijackThis v1.99.1
Scan saved at 00:43:02, on 28.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\sistray.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\DOWNLO~2\VOLUME~1\MT.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\telefontarif\FonTipp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Sepp\Desktop\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.1/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [FonTipp] C:\Programme\telefontarif\start.exe min
O4 - HKLM\..\Run: [Meine Traffic] C:\DOWNLO~2\VOLUME~1\MT.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [scvchost] C:\WINDOWS\system32\scvchost.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093794856031
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0045A44-F903-437D-9E8E-9D3C0303DE75}: NameServer = 192.168.178.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

cosinus 28.04.2006 00:13
Zitat:
C:\DOWNLO~2\VOLUME~1\MT.EXE
Bekannt/gewollt? Im Zweifel immer lieber bei Jotti oder Virustotal auswerten lassen und Ergebnisse hier posten.
Zitat:
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
Diese Java-Version ist obsolet...
Zitat:
O4 - HKLM\..\Run: [scvchost] C:\WINDOWS\system32\scvchost.exe
Und das ist definitiv Mist! Die Datei C:\WINDOWS\system32\scvchost.exe bitte auswerten lassen (Jotti, wenn überlastet Virustotal). Links und Anleitungen siehe unten, Signatur...

MightyMarc 28.04.2006 00:14
Lass mal die Dateien

c:\windows\system32\ntswrl32.dll
C:\WINDOWS\system32\scvchost.exe

bei virustotal prüfen.

Gut sieht es aber nicht aus.

monrail 28.04.2006 00:16
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
kommen mir nicht koscher vor aber nicht gleich löschen bitte auf en andren profis warten da ich gerne mitlerne obs ich auch richtig gefunden habe :)

p.s.: da war MM schneller :(

MightyMarc 28.04.2006 00:38
Zitat:
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
The default location for sistray.exe is %WINDOWS%/System32/
http://process.networktechs.com/sistray.exe.php

http://www.file.net/prozess/mixer.exe.html

Im Zweifelsfall kann man solche Dateien prüfen lassen, aber ich glaube der TO hat schon genug Probleme wenn sich die Verdachtsmomente bezüglich Backdoor erhärten sollten.

cosinus 28.04.2006 00:41
SiS Tray dürfte i.O. sein, Treiber für SiS-VGA onBoard wenn ich mich nicht irre...
Der "Mixer" sollte auch legitim sein...

<edit> MANN immer ist der Marc schneller! </edit>

granger 05.05.2006 14:30
Habe selbes Problem! :heulen: Bitte um Hilfe!


Logfile of HijackThis v1.99.1
Scan saved at 15:26:44, on 05.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
D:\programme\Logitech\iTouch\iTouch.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
D:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Dokumente und Einstellungen\Standard\Desktop\utorrent.exe
D:\programme\WinAmp5\Winamp\winamp.exe
D:\programme\Common\Bin\WinCinemaMgr.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe
C:\WINDOWS\system32\vssms32.exe
D:\programme\MozillaFirefoxBrowser\firefox.exe
C:\Dokumente und Einstellungen\Standard\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {BD7305A7-9483-7E91-B02A-57B8DEEFA2FF} - C:\DOKUME~1\Standard\ANWEND~1\SURFLI~1\Show Online.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sendextrawinping] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\roadtypesendextra\PopMode.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows ExpIore] C:\WINDOWS\system32\expIorer.exe
O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe
O4 - HKLM\..\RunOnce: [GrpConv] grpconv.exe -o
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{F41CF~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{F41CF~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup1] C:\PROGRA~1\INSTAL~1\{A7857~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{A7857~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup2] C:\PROGRA~1\INSTAL~1\{8F6E4~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{8F6E4~1\reboot.ini -l0x9
O4 - HKCU\..\Run: [LDM] D:\programme\Logitech\\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [wayproxy] C:\DOKUME~1\Standard\ANWEND~1\HTMMET~1\Tick User.exe
O4 - HKCU\..\Run: [Windows ExpIore] C:\WINDOWS\system32\expIorer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\programme\ICQLite\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {D2E5C9D1-6918-4AC1-9846-3C718F1A330D} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {D2E5C9D1-6918-4AC1-9846-3C718F1A330D} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {EC2E44A7-9516-47C5-A4C9-96C85F6E1D8E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {EC2E44A7-9516-47C5-A4C9-96C85F6E1D8E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDC85FEE-1C32-4EC5-BF07-17B878C7EBDA}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

MightyMarc 05.05.2006 14:46
Hallo granger,

Du hast diesen Patienten auf Deinem System. Bei Backdoorfunktionalität wie in diesem Fall, ist der einzig sinnvolle Rat, das System neuaufzusetzen. Einen Link zur Anleitung hierfür findest in meiner Signatur (Try Again).

Gruß

Marc

paula777 05.07.2006 09:56
Backdoor Server bds/cakl.A.2

Mit hilfe der Windows-CD in die Wiederherstelungskonsole gehen, dort
c:\windows\system32\ntswrl32.dll - löschen
c:\windows\system32\vms32.exe - löschen
c:\windows\system32\ldapi32.exe - löschen
c:\windows\system32\ntcvx32.dll - löschen

Neustart

Backdoor Server bds/cakl.A.2 :snyper: tod.

Rene-gad 05.07.2006 10:03
Ot
 
Hallo paula777
Zitat:
Backdoor Server bds/cakl.A.2 ... tod.
tja, lieber 2 Monaten später, als nie :blabla:
Grundsätzlich: deine Aussage ist falsch. Lese mal bitte das: http://www.microsoft.com/technet/com...mt/sm0504.mspx

HiON 15.10.2006 11:00
hi leutz, bin neu hier un habe auch gleich mal nen tolles problem:

mein Antivir sagt mir das sich backdoorprogramme auf meinem rechner befinden, genau wie beim threadersteller, deswegen poste ich das hier.

folgende dateien sind das:
C:/WINDOWS/system32/ntswrl32.dll [BDS/cakl.A.2]
C:/WINDOWS/system32/ldapi32.exe [BDS/cakl.A.2]

"ntswrl32.dll" lässt sich zwar im abgesicherten modus entfernen aber beim neustart stellt sich die datei wieder her.
"ldapi32.exe" hatte ich im abgesicherten modus nicht mal gefunden... aber im normalen modus existiert sie.

Habe schon eine scan mit HijackThis gemacht.
Bitte um hilfe und evtl. ne andere lösung als OS neu draufsetzen...


Logfile of HijackThis v1.99.1
Scan saved at 11:46:14, on 15.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\oodag.exe
E:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Programme\Kerio\WinRoute Firewall\winroute.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\TV Movie\TV Movie ClickFinder\tvtip.EXE
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
D:\Programme\Kerio\WinRoute Firewall\wrctrl.exe
E:\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Winamp\winamp.exe
E:\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\BlutoniumBoy\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\FlashGet\jccatch.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TVTip] E:\TV Movie\TV Movie ClickFinder\tvtip.EXE /m
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKCU\..\Run: [WrCtrl] "D:\Programme\Kerio\WinRoute Firewall\wrctrl.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Winamp] D:\\Programme\\Winamp\\winamp.exe
O4 - Global Startup: Ashampoo Magical Defrag.lnk = E:\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
O4 - Global Startup: Hamachi.lnk = E:\Hamachi\hamachi.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - E:\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151331869776
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AshampooDefragService - - E:\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Kerio WinRoute Firewall (WinRoute) - Kerio Technologies - D:\Programme\Kerio\WinRoute Firewall\winroute.exe

felix1 15.10.2006 11:30
Wie Rene-Gad schon richtig bemerkte, sollte eine Reparatur hier nicht sinnvoll sein:
http://www.sophos.de/security/analyses/trojbdooryp.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131