Viren, Spyware, Datenschutz 11.212 Themen, 94.146 Beiträge

Extrem widerspenstiger Backdoor.trojan!!! =o

FlyingElch / 8 Antworten / Flachansicht Nickles

Hi Leute...


...habe ein echtes Problem mit meinem System (WinXP Prof.): jedes Mal, wenn ich ein Programm starte bzw. ein Fenster öffne, erscheint eine Viruswarnung von NAV, ich habe einen Backdoor.Trojan. Dieser kann allerdings weder repariert, noch in Quarantäne gestellt und auch nicht gelöscht werden!!!


Die betroffene Datei ist C:\Windows\System32\sql.dll - allerdings existiert sie scheinbar gar nicht! (nein, unsichtbar ist sie nicht!)


Was ich bisher unternommen habe? Komplette SystemScans mit NAV2002 AdAware 6.0, Spybot Search & Destroy, Spyware Blaster, Spyware Doctor, CWShredder, HiJackThis... es half bisher alles nix! Die Versionen sind alle aktualisiert (z.B. Virendefinitionen).


Habe über Foren immerhin schon herausgefunden, dass es einen Registryeintrag gibt, in dem die ominöse Datei auftaucht: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Windows. Dort gibt es den Eintrag AppInit_DLLs mit dem Wert "C:\Windows\System32\sql.dll". Wenn man diesen Wert überschreibt, erscheint er direkt wieder, sobald ein Fenster geöffnet wird und die Viruswarnung angezeigt wird! =/


Bin echt am Verzweifeln, da ich so langsam keine Ideen mehr habe und mich diese ständig aufpoppende Nachricht nervt. Zwar scheint der Virus keinen Schaden anzurichten oder das System sonst wie zu beeinträchtigen, aber... ES NERVT EINFACH!!!


Hoffe echt, dass mir hier jemand helfen kann! Wäre sehr sehr sehr dankbar...


SO LONG, FlyingElch

bei Antwort benachrichtigen
mmk FlyingElch „Hi Teletom, hier ist das Logfile. Sieht eigentlich ganz gut aus, aber ich bin da...“
Optionen

Logfile of HijackThis v1.97.7

->> Das ist eine alte HijackThis-Version. Nutze die neue, und der folgende Eintrag wird im LogFile hinzukommen:

O20 - AppInit_DLLs: C:\Windows\System32\sql.dll
Welcher zu identifizieren ist als:
Backdoor.Agent.ac

Dieser Backdoor gelangt über einer Sicherheitslücke des Internet Explorers beim Surfen auf das System. Er ist leider nicht so einfach zu entfernen. Es ginge, wenn du z.B. im abgesicherten Modus mit Eingabeaufforderung booten würdest, und diese Datei dann umzubenennen. Zuvor muss aber die Dateiberechtigung geändert werden, sonst hast du keinen Zugriff zur Umbenennung.

Das geht z.B. unter Nutzung der calcs.exe. Beispiel:
- Erst in den Ordner System32 wechseln:
cd C:\Windows\System32

- Dann die calcs.exe ins Spiel bringen:
calcs sql.dll /P Administrator:F
(Erklärung: das P steht für den Benutzer und das F für den Vollzugriff - bitte so eingeben wie im Beispeil gezeigt.)

- Nun die Datei umbenennen:
ren sql.dll sql.qua

Jeder Schritt benötigt jeweils das Drücken der Enter-Taste am Ende.

Alles in allem würde ich jedoch eher zu einem Neuaufsetzen des Systems raten - Verseuchung durch einen Backdoor eben. Dann vor der ersten Verbindung ins Internet absichern (z.B. http://dingens.org), System neu starten, Verbindung herstellen, Updates laden, möglichst auf den Internet Explorer zum Surfen verzichten (z.B. Firefox nutzen, aber auch diesen aktuell halten).

Schlussendlich solltest du auch alle Passwörter ändern.

bei Antwort benachrichtigen