Viren, Spyware, Datenschutz 11.253 Themen, 94.785 Beiträge

Verfolgung starten Optionen

Extrem widerspenstiger Backdoor.trojan!!! =o

FlyingElch / 8 Antworten / Baumansicht Nickles

Hi Leute...


...habe ein echtes Problem mit meinem System (WinXP Prof.): jedes Mal, wenn ich ein Programm starte bzw. ein Fenster öffne, erscheint eine Viruswarnung von NAV, ich habe einen Backdoor.Trojan. Dieser kann allerdings weder repariert, noch in Quarantäne gestellt und auch nicht gelöscht werden!!!


Die betroffene Datei ist C:\Windows\System32\sql.dll - allerdings existiert sie scheinbar gar nicht! (nein, unsichtbar ist sie nicht!)


Was ich bisher unternommen habe? Komplette SystemScans mit NAV2002 AdAware 6.0, Spybot Search & Destroy, Spyware Blaster, Spyware Doctor, CWShredder, HiJackThis... es half bisher alles nix! Die Versionen sind alle aktualisiert (z.B. Virendefinitionen).


Habe über Foren immerhin schon herausgefunden, dass es einen Registryeintrag gibt, in dem die ominöse Datei auftaucht: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Windows. Dort gibt es den Eintrag AppInit_DLLs mit dem Wert "C:\Windows\System32\sql.dll". Wenn man diesen Wert überschreibt, erscheint er direkt wieder, sobald ein Fenster geöffnet wird und die Viruswarnung angezeigt wird! =/


Bin echt am Verzweifeln, da ich so langsam keine Ideen mehr habe und mich diese ständig aufpoppende Nachricht nervt. Zwar scheint der Virus keinen Schaden anzurichten oder das System sonst wie zu beeinträchtigen, aber... ES NERVT EINFACH!!!


Hoffe echt, dass mir hier jemand helfen kann! Wäre sehr sehr sehr dankbar...


SO LONG, FlyingElch

bei Antwort benachrichtigen
Teletom FlyingElch „Extrem widerspenstiger Backdoor.trojan!!! =o“
Optionen

Bitte Hijackthis downloaden, ausführen > scan > save log> Schließen und den log-File- Inhalt hier posten, falls das Problem noch besteht:
http://www.spywareinfo.com/~merijn/files/HijackThis.exe

Gruß
Teletom

bei Antwort benachrichtigen
FlyingElch Teletom „Bitte Hijackthis downloaden, ausführen scan save log Schließen und den...“
Optionen

Hi Teletom,

hier ist das Logfile. Sieht eigentlich ganz gut aus, aber ich bin da jetzt auch nicht so wirklich fit drin. Vielleicht erkennst Du ja irgendetwas eigenartiges... =/

Vielen Dank schon mal im Voraus!

FlyingElch


Logfile of HijackThis v1.97.7
Scan saved at 14:15:13, on 25.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Apoint2K\EzCapt.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38031.2247800926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

bei Antwort benachrichtigen
Teletom FlyingElch „Hi Teletom, hier ist das Logfile. Sieht eigentlich ganz gut aus, aber ich bin da...“
Optionen

Scheint in Ordnung zu sein.

Deaktiviere mal die automtaische Systemwiederherstellung
start > Rechtsklick auf Arbeitsplatz > Eigenschaften > Systemwiederherstellung > Haken setzen bei Systemwiederherstellung auf allen LWs deaktivieren > OK schließen

Starte das System im abgesicherten Modus
F8 beim Booten drückem
abgesicherte Modus auswählem enter

und scanne mal das System nach Viren. Im abgesicherten Modus muss sich der Virus entfernen lassen.

Gruß
Teletom


[Diese Nachricht wurde nachträglich bearbeitet.]

bei Antwort benachrichtigen
mmk FlyingElch „Hi Teletom, hier ist das Logfile. Sieht eigentlich ganz gut aus, aber ich bin da...“
Optionen

Logfile of HijackThis v1.97.7

->> Das ist eine alte HijackThis-Version. Nutze die neue, und der folgende Eintrag wird im LogFile hinzukommen:

O20 - AppInit_DLLs: C:\Windows\System32\sql.dll
Welcher zu identifizieren ist als:
Backdoor.Agent.ac

Dieser Backdoor gelangt über einer Sicherheitslücke des Internet Explorers beim Surfen auf das System. Er ist leider nicht so einfach zu entfernen. Es ginge, wenn du z.B. im abgesicherten Modus mit Eingabeaufforderung booten würdest, und diese Datei dann umzubenennen. Zuvor muss aber die Dateiberechtigung geändert werden, sonst hast du keinen Zugriff zur Umbenennung.

Das geht z.B. unter Nutzung der calcs.exe. Beispiel:
- Erst in den Ordner System32 wechseln:
cd C:\Windows\System32

- Dann die calcs.exe ins Spiel bringen:
calcs sql.dll /P Administrator:F
(Erklärung: das P steht für den Benutzer und das F für den Vollzugriff - bitte so eingeben wie im Beispeil gezeigt.)

- Nun die Datei umbenennen:
ren sql.dll sql.qua

Jeder Schritt benötigt jeweils das Drücken der Enter-Taste am Ende.

Alles in allem würde ich jedoch eher zu einem Neuaufsetzen des Systems raten - Verseuchung durch einen Backdoor eben. Dann vor der ersten Verbindung ins Internet absichern (z.B. http://dingens.org), System neu starten, Verbindung herstellen, Updates laden, möglichst auf den Internet Explorer zum Surfen verzichten (z.B. Firefox nutzen, aber auch diesen aktuell halten).

Schlussendlich solltest du auch alle Passwörter ändern.

bei Antwort benachrichtigen
mmk FlyingElch „Extrem widerspenstiger Backdoor.trojan!!! =o“
Optionen

>Zwar scheint der Virus keinen Schaden anzurichten

Mal abgesehen davon, dass es ein Backdoor ist und kein Virus: wie kommst du auf diesen dünnen Zweig? Natürlich wird solche Malware nicht zum Spaß "unter die Leute gebracht". Natürlich gibt es Schadfunktionen- und Absichten. Jede Malware ist bitte ernst zu nehmen!

bei Antwort benachrichtigen
eks04 FlyingElch „Extrem widerspenstiger Backdoor.trojan!!! =o“
Optionen

Hallo, ich hatte genau das gleiche Problem wie du. Ich habe es aber mit Pest Patrol und einer regestry Änderung wieder hinbekommen.
Die Anleitung findest Du auf der folgenden Internetseite:

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.html

Also, viel Erfolg!!!

bei Antwort benachrichtigen
FlyingElch Nachtrag zu: „Extrem widerspenstiger Backdoor.trojan!!! =o“
Optionen

Hey...

...ich habe inzwischen das System platt gemacht und es neu aufgesetzt! Und zwar ordentlich! IE gehört der Vergangenheit an und nutze jetzt FireFox (zumindest zum dumm-rum-surfen).

Trotzdem VIELEN DANK an Euch alle für die Mühe und Lösungsvorschläge!!!

Bis denn dann - im Sinne eines laufenden Systems natürlich hoffentlich nicht so bald... ;o)

Gruß FLYINGELCH

bei Antwort benachrichtigen
natasnws FlyingElch „Extrem widerspenstiger Backdoor.trojan!!! =o“
Optionen

Servus

ich habe folgenden Tipp (allerdings nur unter Windows XP getestet!):

1. Systemwiederherstellung deaktivieren.
2. Das Passwort für den Administrator muss bekannt sein! Falls nicht, dann auf einen bekannten Wert setzen.
3. Von einer Windows XP CD booten.
4. Dann in die Rettungskonsole gehen und "del c:\\windows\\system32\\sql.dll" ausführen.
5. Anschliesend eine "copy laufwerk:\\pafdzueiner\\textdatei.txt c:\\windows\\system32\\sql.dll".
6. Mit "attrib +RS c:\\windows\\system32\\sql.dll" die Datei schreibgeschütz uns als Systemdatei markieren.
7. Jetzt neu starten.
8. Mit HijackThis den Eintrag für sql.dll entfernen
9. Mit scan überprüfen, ob der Eintrag jetzt weg bleibt.
11. Systemwiederherstellung aktivieren.
10. Freuen über ein bereinigtes System :-)


PS: Solltet Ihr Windows nicht im Ordner c:\\windows installiert haben, dann müsst Ihr die Befehle daran anpassen!


nataS[NWS]

bei Antwort benachrichtigen