Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge

Extrem widerspenstiger Backdoor.trojan!!! =o

FlyingElch am 25.07.2004, 00:00 / 8 Antworten / Flachansicht

Hi Leute...

...habe ein echtes Problem mit meinem System (WinXP Prof.): jedes Mal, wenn ich ein Programm starte bzw. ein Fenster öffne, erscheint eine Viruswarnung von NAV, ich habe einen Backdoor.Trojan. Dieser kann allerdings weder repariert, noch in Quarantäne gestellt und auch nicht gelöscht werden!!!

Die betroffene Datei ist C:\Windows\System32\sql.dll - allerdings existiert sie scheinbar gar nicht! (nein, unsichtbar ist sie nicht!)

Was ich bisher unternommen habe? Komplette SystemScans mit NAV2002 AdAware 6.0, Spybot Search & Destroy, Spyware Blaster, Spyware Doctor, CWShredder, HiJackThis... es half bisher alles nix! Die Versionen sind alle aktualisiert (z.B. Virendefinitionen).

Habe über Foren immerhin schon herausgefunden, dass es einen Registryeintrag gibt, in dem die ominöse Datei auftaucht: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Windows. Dort gibt es den Eintrag AppInit_DLLs mit dem Wert "C:\Windows\System32\sql.dll". Wenn man diesen Wert überschreibt, erscheint er direkt wieder, sobald ein Fenster geöffnet wird und die Viruswarnung angezeigt wird! =/

Bin echt am Verzweifeln, da ich so langsam keine Ideen mehr habe und mich diese ständig aufpoppende Nachricht nervt. Zwar scheint der Virus keinen Schaden anzurichten oder das System sonst wie zu beeinträchtigen, aber... ES NERVT EINFACH!!!

Hoffe echt, dass mir hier jemand helfen kann! Wäre sehr sehr sehr dankbar...

SO LONG, FlyingElch

      Bitte Hijackthis downloaden, ausführen scan save log Schließen und den ... Teletom 25.07.2004, 00:00
    
        FlyingElch Teletom „Bitte Hijackthis downloaden, ausführen scan save log Schließen und den...“
      
        25.07.2004, 00:00 Optionen
      
          Hi Teletom,

          hier ist das Logfile. Sieht eigentlich ganz gut aus, aber ich bin da jetzt auch nicht so wirklich fit drin. Vielleicht erkennst Du ja irgendetwas eigenartiges... =/

          Vielen Dank schon mal im Voraus!

          FlyingElch

          Logfile of HijackThis v1.97.7

          Scan saved at 14:15:13, on 25.07.2004

          Platform: Windows XP SP1 (WinNT 5.01.2600)

          MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

          Running processes:

          C:\WINDOWS\System32\smss.exe

          C:\WINDOWS\system32\winlogon.exe

          C:\WINDOWS\system32\services.exe

          C:\WINDOWS\system32\lsass.exe

          C:\WINDOWS\system32\svchost.exe

          C:\WINDOWS\System32\svchost.exe

          C:\WINDOWS\system32\spoolsv.exe

          C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

          C:\Programme\Norton AntiVirus\navapsvc.exe

          C:\WINDOWS\system32\ZoneLabs\vsmon.exe

          C:\WINDOWS\Explorer.EXE

          C:\PROGRA~1\ZONEAL~1\zlclient.exe

          C:\PROGRA~1\NORTON~1\navapw32.exe

          C:\Programme\Apoint2K\Apoint.exe

          C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

          C:\Programme\Apoint2K\Apntex.exe

          C:\Programme\Apoint2K\EzCapt.exe

          C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE

          C:\Programme\ICQLite\ICQLite.exe

          C:\Programme\Internet Explorer\iexplore.exe

          O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat\Acrobat\ActiveX\AcroIEHelper.ocx

          O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll

          O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

          O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll

          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

          O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll

          O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll

          O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

          O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe

          O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

          O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe

          O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

          O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

          O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

          O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html

          O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html

          O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html

          O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

          O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html

          O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

          O9 - Extra button: Recherche-Assistent (HKLM)

          O9 - Extra button: ICQ 4.1 (HKLM)

          O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)

          O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

          O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

          O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

          O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab

          O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38031.2247800926

          O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

             bei Antwort benachrichtigen
        
      Scheint in Ordnung zu sein. Deaktiviere mal die automtaische ... Teletom 25.07.2004, 00:00
    
      Logfile of HijackThis v1.97.7 - Das ist eine alte HijackThis-Version. Nutze ... mmk 25.07.2004, 00:00
    
      Zwar scheint der Virus keinen Schaden anzurichten Mal abgesehen davon, dass ... mmk 26.07.2004, 00:00
    
      Hallo, ich hatte genau das gleiche Problem wie du. Ich habe es aber mit Pest ... eks04 28.07.2004, 00:00
    
      Hey... ...ich habe inzwischen das System platt gemacht und es neu ... FlyingElch 28.07.2004, 00:00
    
      Servus ich habe folgenden Tipp allerdings nur unter Windows XP getestet! : ... natasnws 30.07.2004, 00:00