Trojan.poldo Scvhost.exe und Regcpm32.exe

#0
21.07.2004, 21:53
...neu hier

Beiträge: 8
#1 Hi!
Seit 3 Tagen werde ich von Norton Antivirus darüber informiert, daß er einen Trojaner auf meinem Rechner gefunden hat. Scheinbar kann er diesen aber trotz neuesten Updates nicht entfernen. Auch den Namen scheint er nicht zu kennen. Stattdessen: Virenname: Backdoor.Trojan Obejktname: C:\WINDOWS\System32\D3DIGN.dll.
Spybot und einige andere Antivirenprogramme erkennen den Virus erst gar nicht. Über TDS-3 hab ich erfahren, daß ich den Trojan.Poldo am System habe. Er hat sich in der Registry eingenistet mit 2 exe's. SCVHOST.exe und REGCPM32.exe. Beide Dateien sind auf meinem Rechner unauffindbar. Will ich aber die beiden Registry Einträge löschen, so sind sie zwar kurzfristig gelöscht, doch finden sich diese schon wenige Sekunden später wieder dort.

Anbei mal das Log von HijackThis:
Logfile of HijackThis v1.97.7
Scan saved at 21:30:14, on 07/21/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\SCVHOST.EXE
C:\Programme\Winzip\WZQKPICK.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\regedit.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Antivirus\TDS3\tds-3.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\TOM\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.derstandard.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\TOM\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aldi.com/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Antivirus\Spybot\SDHelper.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {A5F87674-CA81-4EB6-88AF-2D8CABA73E68} - C:\WINDOWS\System32\acffp.dll (file missing)
O2 - BHO: (no name) - {BA7270AE-5636-4618-BAF3-F86ADA39F036} - C:\Programme\Antivirus\ICOO Loader\addons7\icoourl.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {ED657BAF-1EE5-4A07-9D2E-6D0525EFC69B} - C:\Programme\Antivirus\ICOO Loader\addons7\icoourlext.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\Winzip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37667.1728819444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F539039-2FC3-41BE-A609-9A84E97F4879}: NameServer = 195.34.133.10,195.34.133.11

Ich hab auch schon probiert, im abgesicherten Modus hochzufahren, und die Dinger zu löschen, aber alles hat nichts genutzt. Ich hoffe, Ihr könnt mir da mal weiterhelfen.
Seitenanfang Seitenende
21.07.2004, 22:03
Moderator

Beiträge: 7805
#2 Versuche es erst hiermit:
http://www.rokop-security.de/board/index.php?showtopic=3867
dann hiermit:
http://www.rokop-security.de/main/article.php?sid=703
dann ein neues Log posten!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.07.2004, 00:41
...neu hier

Themenstarter

Beiträge: 8
#3 Der 2. Link hat leider nicht funktioniert. Hab jetzt nur die Anweisungen hinter dem ersten Link ausgeführt. Jetzt sind zumindest mal die Registry-Einträge weg (und vieles andere), doch der Norton Antivirus schlägt nach wie vor an: Trojan.Backdoor. Hab den escan ein 2.Mal drüber laufen lassen. Doch der findet nichts mehr.

Hier das aktuelle Log:

Logfile of HijackThis v1.97.7
Scan saved at 00:34:47, on 07/22/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CloneCD\CloneCDTray.exe
C:\Programme\Winzip\WZQKPICK.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\TOM\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.derstandard.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\TOM\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aldi.com/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Antivirus\Spybot\SDHelper.dll
O2 - BHO: (no name) - {A5F87674-CA81-4EB6-88AF-2D8CABA73E68} - C:\WINDOWS\System32\acffp.dll (file missing)
O2 - BHO: (no name) - {BA7270AE-5636-4618-BAF3-F86ADA39F036} - C:\Programme\Antivirus\ICOO Loader\addons7\icoourl.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {ED657BAF-1EE5-4A07-9D2E-6D0525EFC69B} - C:\Programme\Antivirus\ICOO Loader\addons7\icoourlext.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\Winzip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37667.1728819444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F539039-2FC3-41BE-A609-9A84E97F4879}: NameServer = 195.34.133.10,195.34.133.11
Seitenanfang Seitenende
22.07.2004, 05:43
Moderator

Beiträge: 7805
#4 Sieht ja schon nicht so schlecht aus. Fix das bitte auch noch:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\TOM\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\TOM\LOKALE~1\Temp\sp.html
O2 - BHO: (no name) - {A5F87674-CA81-4EB6-88AF-2D8CABA73E68} - C:\WINDOWS\System32\acffp.dll (file missing)
O2 - BHO: (no name) - {BA7270AE-5636-4618-BAF3-F86ADA39F036} - C:\Programme\Antivirus\ICOO Loader\addons7\icoourl.dll
O2 - BHO: (no name) - {ED657BAF-1EE5-4A07-9D2E-6D0525EFC69B} - C:\Programme\Antivirus\ICOO Loader\addons7\icoourlext.dll
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\Winzip\WZQKPICK.EXE
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

DAnn neu starten, internet Cahe und Temp Ordner loeschen und diesen Ordner ebenfalls: C:\Programme\Antivirus\ICOO Loader

Wo findet Norton denn noch einen Backdoor?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.07.2004, 21:51
...neu hier

Themenstarter

Beiträge: 8
#5 Logfile of HijackThis v1.97.7
Scan saved at 21:45:03, on 07/22/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CloneCD\CloneCDTray.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.derstandard.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aldi.com/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Antivirus\Spybot\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37667.1728819444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F539039-2FC3-41BE-A609-9A84E97F4879}: NameServer = 195.34.133.10,195.34.133.11

So, jetzt ist alles von Dir vorgeschlagene draußen, Cache gelöscht, Temp gelöscht, trotzdem motzt Norton Antivirus bezüglich der oben erwähnten Datei (die ich aber unter dem Pfad nicht finden kann) D3DIGN.dll.
Seitenanfang Seitenende
22.07.2004, 22:18
Moderator

Beiträge: 7805
#6 Starte mal im abgesicherten Modus und lasse Norton da nochmal deinen Rechner pruefen und die Datei loeschen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.07.2004, 23:39
...neu hier

Themenstarter

Beiträge: 8
#7 Hi Ralf!
Hab jetzt die Virendefinitionen vom Norton noch mal aktualisiert, im abgesicherten Modus hochgefahren und die Virenprüfung noch mal durchgeführt. Aber das dumme Ding erkennt auf diese Art keinen Virus. Trotzdem kommt zur Laufzeit alle paar Sekunden diese Virusmeldung. Mit dem Unterschied, daß er mittlerweile einen Namen bekommen hat: Backdoor.Agent.B Wie krieg ich dieses Ding jetzt weg?
Danke für Deine immer prompten Antworten,
Thomas

P.S.:
Hab jetzt den Ort gefunden in der Registry, wo das Ding sitzt:
HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Windows
Dort gibt's ein App_InitDlls, und das ist auf C:\Windows\System32\d3dign.dll gesetzt. Bloß selbiges Spielchen, wie schon oben mal erwähnt, wenn ich das Ding lösche, ist es 5 Sekunden später wieder da. Hast mal eine Ahnung, wie ich dem Ding Herr werde?
Dieser Beitrag wurde am 27.07.2004 um 00:07 Uhr von Eurasier editiert.
Seitenanfang Seitenende
27.07.2004, 05:51
Moderator

Beiträge: 7805
#8 versuche es mal damit ftp://ftp.kaspersky.com/utils/clrav.com
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.07.2004, 08:16
...neu hier

Themenstarter

Beiträge: 8
#9 'nothing to clean'
So, das nicht recht berauschende Ergebnis.
lg, Thomas
Seitenanfang Seitenende
27.07.2004, 09:33
Member

Beiträge: 1095
#10 @eurasier

Schick mir mal bitte die Datei "C:\Windows\System32\d3dign.dll" gezippt an
mike_hangover@gozomail.com (Meine FakeEMail)
Damit wir wissen womit wirs zu tun haben!

Dann folge bitte diesen Anweisungen.
Schritte bitte von der Reihenfolge genau einhalten!!!

Update bitte den EScan wie hier beschrieben
ESCAN+Update

Geh in den Abgesicherten Modus

AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!!

Starte EScan wie oben beschrieben

Starte Norton

Lösche den Eintrag in der AppInit_dlls

Lösche wenn, vorhanden die Datei "C:\Windows\System32\d3dign.dll"

Dann normal starten und nochmal Logfile posten
Aber besorg dir bitte den HiJackThis v1.98.0
http://www.spywareinfo.com/~merijn/downloads.html

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
27.07.2004, 09:45
Moderator

Beiträge: 7805
#11 Lies auch mal diesen Thread:
http://www.rokop-security.de/board/index.php?showtopic=4224&hl=

und die Beschreibung von Norton dazu:
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.07.2004, 23:37
...neu hier

Themenstarter

Beiträge: 8
#12 Hi!
So, der Eintrag in der Registry ist jetztz weg, alles doppelt und dreifach gescannt, sowohl mit Escan als auch Norton. Keiner findet diesen Trojaner. Der Hinweis auf der Symantec Software HP ist scheinbar nur die halbe Wahrheit, denn die Virusmeldung kommt nach wie vor.
Die Datei, die da beanstandet wird d3dign.dll im Ordner System32 existiert dort aber nicht, somit kann ich sie auch nicht posten. Auch sonst kann ich diese Datei nicht finden, obwohl auch die nicht sichtbaren Objekte eingeblendet sind.
Die Page zum Downloaden von HijackThis 1.98.0 funktioniert leider nicht. deshalb nur mit 1.97.7 das Logfile:
Logfile of HijackThis v1.97.7
Scan saved at 23:24:24, on 07/27/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CloneCD\CloneCDTray.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\regedit.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Works\MSWorks.exe
C:\temp\HijackThis.exe
C:\Programme\UltraEdit\UEDIT32.EXE
C:\temp\HijackThis1[1].97.7.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.derstandard.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aldi.com/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Antivirus\Spybot\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37667.1728819444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F539039-2FC3-41BE-A609-9A84E97F4879}: NameServer = 195.34.133.10,195.34.133.11
Seitenanfang Seitenende
27.07.2004, 23:48
Member

Beiträge: 441
#13 Hallo Eurasier,

probiers mal mit der Beschreibung von mmk, er hatte mich in einen ähnlichen Fall unterstützt, das sollte dir helfen:
http://www.nickles.de/thread_cache/537730733.html

Das Problem bei dir ist, das du die alte Version von HiJackThis noch verwendest und daher der O20 - AppInit_DLLs: C:\Windows\System32\d3dign.dll Eintrag nicht sichtbar ist.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 27.07.2004 um 23:52 Uhr von Cidre editiert.
Seitenanfang Seitenende
28.07.2004, 21:29
...neu hier

Themenstarter

Beiträge: 8
#14 Ja, man sollte vielleicht seinen Computer nach dem Registry Eingriff (so wie in Symantec beschreibt) auch wieder neu booten. Denn so wie es scheint, dürfte jetzt mein Problem behoben sein. Ich will's nicht verschreien, aber das war's jetzt scheinbar. Dank an alle, die mitgeholfen haben, dem Problem Herr zu werden.
Seitenanfang Seitenende
28.07.2004, 21:43
Moderator

Beiträge: 7805
#15 Wenn du die Datei noch hast, schick sie bitte an virus@protecus.de
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: