Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Backdoor.Trojan msacmx.dll (https://www.trojaner-board.de/9980-backdoor-trojan-msacmx-dll.html)

Erbsensuppe 23.11.2004 14:18
Backdoor.Trojan msacmx.dll
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo
Ich habe da ein Problem. jedes mal wenn ich meinen Pc starte kommt immer eine Meldung, dass ein Trojaner gefunden wurde. Laut Virenscanner wird er dann gelöscht, aber beim nächsten neustart is er wieder da???

Hat einer ne Ahnung wie ich diesen beseitigen kann??

Im Anhang ist ein Bild, welches zeigt, wie die Warnmeldung aussieht.

Shadowdance 23.11.2004 16:27
@ Erbsensuppe

erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Yopie 23.11.2004 16:59
Bei einem aktiven Backdoor würde ich schnellstens neu formatieren!

Warum :http://oschad.de/wiki/index.php/Kompromittierung
Wie: http://www.trojaner-board.de/showthread.php?t=9546

Gruß :daumenhoc
Yopie

Erbsensuppe 24.11.2004 13:53
Hier ist die logfile von hijackthis


Logfile of HijackThis v1.98.2
Scan saved at 13:52:09, on 24.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Torsten\Eigene Dateien\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kasitec.de/index2.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.kasitec.de/index2.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DE7F055-AB99-44C0-8201-3A513EE2A1B5}: NameServer = 62.104.191.241 62.104.196.134

Shadowdance 24.11.2004 15:07
@ Erbsensuppe,

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} -

wenn Du folgende Einträge nicht kennst/brauchst, bitte fixen:
(Häk'chen setzen und auf Fix Checked klicken):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.kasitec.de/index2.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://www.kasitec.de/index2.htm
O15 - Trusted Zone: h**p://*.63.219.181.7

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus (Anleitung im Link beachten!).

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Wir geben Anweisung, wie es manuell zu machen ist.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD

Erbsensuppe 25.11.2004 19:20
@shaddowdance

hier ist die liste mit den gefundenen viren aus der mwav.log

Thu Nov 25 17:49:37 2004 => ***** Scanning complete. *****

Thu Nov 25 17:49:37 2004 => Total Files Scanned: 86584
Thu Nov 25 17:49:37 2004 => Total Virus(es) Found: 31
Thu Nov 25 17:49:37 2004 => Total Disinfected Files: 0
Thu Nov 25 17:49:38 2004 => Total Files Renamed: 0
Thu Nov 25 17:49:38 2004 => Total Deleted Files: 0
Thu Nov 25 17:49:38 2004 => Total Errors: 2
Thu Nov 25 17:49:38 2004 => Time Elapsed: 02:16:12
Thu Nov 25 17:49:38 2004 => Virus Database Date: 2004/11/24
Thu Nov 25 17:49:38 2004 => Virus Database Count: 110412


Thu Nov 25 15:57:56 2004 => File C:\WINDOWS\System32\dllhostxp.exe infected by "Trojan-Dropper.Win32.Agent.bu" Virus. Action Taken: No Action Taken.

Thu Nov 25 15:57:57 2004 => File C:\WINDOWS\System32\pxhping.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken.

Thu Nov 25 15:57:57 2004 => File C:\WINDOWS\System32\mqbckup.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken.

Thu Nov 25 15:58:34 2004 => File C:\DOKUME~1\Torsten\LOKALE~1\TEMPOR~1\Content.IE5\2AKHGDW5\ABoxInst_int21[1].exe infected by "Trojan-Downloader.Win32.VB.ft" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:08:18 2004 => File C:\WINDOWS\system32\dllhostxp.exe infected by "Trojan-Dropper.Win32.Agent.bu" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:08:18 2004 => File C:\WINDOWS\system32\pxhping.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:08:18 2004 => File C:\WINDOWS\system32\mqbckup.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05D80000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.4

Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07140000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\06FC0000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07040000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\00D40000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\00780000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05BC0000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07080000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07980000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07080001.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05CC0000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

Thu Nov 25 16:18:42 2004 => File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2AKHGDW5\ABoxInst_int21[1].exe infected by "Trojan-Downloader.Win32.VB.ft" Virus. Action Taken: No Action Taken.

sieht nicht besonders gut aus!?

Erbsensuppe 26.11.2004 11:57
und wie bekomme ich die jetzt gelöscht???

mohx 27.11.2004 11:54
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097401611375

1. Unter HKCU-->Software-->Microsoft-->Windows-->CurrentVersion-->Internet Settings-->ZoneMap alle Einträge löschen

2. Im abgesicherten Modus (F8 vor Bootvorgang) AntiVir starten. (Backups für msacmx.dll werden erkannt und gelöscht)

3. Im abgesicherten Modus HijackThis starten und Trojaner fixen


Das geht recht schnell und sollte helfen,

viel Erfolg


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131