Hallo Forum!
Hat schon jemand mit der Trojanerbekämpfung von BackDoor-BAC.dll (Win32.A311.B) eine Erfahrung gemacht?
Die Datei ist in C\Windows\System32\g0Ygg.dll reingeschrieben, ist aber nicht zu löschen, da "gerade verwendet wird".

Bitte um einen Rat, wie ich diese Plage löschen kann.

Danke allen beteiligten!!

@ Viki,

woher weisst Du, dass Du den "BackDoor-BAC.dll (Win32.A311.B)" auf dem System hast? Scanne die Datei "C\Windows\System32\g0Ygg.dll" online mit virusscan.jotti.dhs.org und teile uns das Ergebnis mit.

Erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Hi, Shadowdance!
Danke für dein Rat!
McAfee v4.5.1. meldete eien BackDoor-BAC.dll,
leider finde ich keinen Behandlungstool, speziell für diese Plage .

Hier ist ein Scanergebnis mit virusscan.jotti.dhs.org:

Service load: 0% 100%

File: g0Ygg.dll
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

Kann nicht einen HijackThis vom Computerbildserver herunterladen.
Welche Tools noch kann ich einsetzen?

Du kannst die Datei im abgesicherten Modus versuchen zu löschen bzw. Macaffee in diesem Modus mal scannen lassen:

http://www.trojaner-board.de/63335-w...s-starten.html

"Kann nicht einen HijackThis vom Computerbildserver herunterladen."

Was meinst du damit?

Hier noch ein direkter Link zu Hijackthis:

http://www.zerosrealm.com/downloads/hjt.zip

Hier ist der Logfile, was nun ??
Nach einer Bahandlung mit dem Tool vom Kasperskylab wird kein Trojaner von MacAffee mehr aufgefunden. Die Datei goYgg.dll ist immer noch da (im System32).
Ist das ok?

Grüss alle Beteiligten

Viki.

Logfile of HijackThis v1.97.7
Scan saved at 15:31:50, on 10.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Flashpaste\flashpaste.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Archiv\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.adels-contact.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.fujitsu-siemens.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.1.1;<local>
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = hxxp://www.fujitsu-siemens.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\System32\wghF237.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE /m
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [VariedDesktopAutoChanger] D:\Archiv\Desktopschöner\Varied Desktop/AutoChanger.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Flashpaste] C:\Programme\Flashpaste\flashpaste.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - Startup: AutoChanger.LNK = ?
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.fujitsu-siemens.de
O16 - DPF: {22CF0C35-80CE-11D3-9354-00105AA793BF} (Ipa Control) - file://C:\Dokumente und Einstellungen\AC2\Lokale Einstellungen\Temp\IK TC 2500 SI 5x20-00000\IpaWebView.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F63DEC5B-EBC9-479A-92DF-E016D660DD2D}: NameServer = 192.168.1.1

Dieses File bitte auch bei Jotti testen: C:\WINDOWS\System32\wghF237.dll

Sorry, der Link von mir führte zu einer alten version von HJT, wieso genau kannst du nun die von hier verlinkte nicht herunterladen http://www.trojaner-board.de/51130-a...ijackthis.html

Wenn du die neuere hast, bitte nochmal ein Log erstelln.

Die C:\WINDOWS\System32\wghF237.dll datei habe ich gelöscht, trotz dem wurde "Infizierte Datei" in C:\WINDOWS\System32\g0Ygg.dll erneuert gemeldet ., die weder im abgesicherten, noch im Normalmodus zu löschen ist.

Wie kann ich die löswerden? Gibt es ein Bereinigungstool dafür?


Hier ist die Logdatei:

Logfile of HijackThis v1.98.2
Scan saved at 09:22:46, on 13.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Flashpaste\flashpaste.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Archiv\HijackThis.exe
C:\Corel\Graphics8\Programs\photopnt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.adels-contact.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.1.1;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE /m
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [VariedDesktopAutoChanger] D:\Archiv\Desktopschöner\Varied Desktop/AutoChanger.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Flashpaste] C:\Programme\Flashpaste\flashpaste.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - Startup: AutoChanger.LNK = ?
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {22CF0C35-80CE-11D3-9354-00105AA793BF} (Ipa Control) - file://C:\Dokumente und Einstellungen\AC2\Lokale Einstellungen\Temp\IK TC 2500 SI 5x20-00000\IpaWebView.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F63DEC5B-EBC9-479A-92DF-E016D660DD2D}: NameServer = 192.168.1.1

Wieso kannst du die Datei im abgesicherten Modus nicht löschen, kommt eine Fehlermeldung oder ist sie beim Neustart wieder da?
Deaktiviere die Systemwiederherstellung, boote in den abgeischerten Modus

http://www.systemwiederherstellung-d...indows-xp.html

lösche die Datei, starte wieder normal und aktiviere die Systemwiederherstellung wieder. Ist die Datei immer noch da? Übrigens solltest du auf jeden Fall alle deine Passworte ändern, da es sich hier wohl um einen Keylogger handelt. Hast d mcAfee mal im abgesicherten Modus scannen lassen?

Beim Löschversuch, auch im abgesicherten Modus, kommt eine Fehlermeldung " Die Datei ist Schreibgeschützt oder wird gerade verwendet".
Die Dateieigenschaften zeigen eine nicht schreibgeschützte Datei. Es ist trotzdem nicht zu löschen oder Verschieben.
Das System wurde mit mehreren Scannerprogrammen, auch mit MacAffee, im abgesicherten Modus und ausgeschalt. Wiederherstellungsfunktionen gescannt und keine Schädlinge gefunden.
Aber beim geöffneten Internetexplorer erscheint eine Virusmeldung vom MacAffee:
"BackDoor-BAC.dll Trojaner in Datei Syst.32\g0Ygg.dll
gefunden", "Datei Löschen?" Ich gebe Ja ein, dann eine Fehlermeldung, daß diese Datei nicht gelöscht oder verschoben werden kann.

Vas nun? Eine Winneuinstallation ist zur Zeit bei mir nicht möglich, bitte um Hilfe-e-e-e-e!

Danke im Voraus!

Hole dir E-Scan, update wie beschrieben:

http://www.trojaner-board.de/42731-escan-anleitung.html

sowie:

http://www.sysinternals.com/files/procexpnt.zip

Starte in den abgesicherten Modus, starte die procexp.exe, geh auf files/save und speichere es als Textdatei, kopiere den Inhalt der Datei dann später hierher. Lass danach E-Scan wie beschrieben durchlaufen, suche dort im Logfile nach "infected" oder "Tagged" und poste die entsprechenden Einträge ebenfalls.

Die "Infizierte" Datei konnte nur mit Hilfe von
TrojanHunter (ein Link wurde hier im Board gefunden) zuerst umbenannt und anschliessend mit WinExplorer gelöscht werden.
Bis Heute habe ich noch keine Virusmeldungen mehr!

Danke allen für die freundliche Unterstützung.

Viki.