Hallo Forum!
Hat schon jemand mit der Trojanerbekämpfung von BackDoor-BAC.dll (Win32.A311.B) eine Erfahrung gemacht?
Die Datei ist in C\Windows\System32\g0Ygg.dll reingeschrieben, ist aber nicht zu löschen, da "gerade verwendet wird".

Bitte um einen Rat, wie ich diese Plage löschen kann.

Danke allen beteiligten!!

@ Viki,

woher weisst Du, dass Du den "BackDoor-BAC.dll (Win32.A311.B)" auf dem System hast? Scanne die Datei "C\Windows\System32\g0Ygg.dll" online mit virusscan.jotti.dhs.org und teile uns das Ergebnis mit.

Erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Hi, Shadowdance!
Danke für dein Rat!
McAfee v4.5.1. meldete eien BackDoor-BAC.dll,
leider finde ich keinen Behandlungstool, speziell für diese Plage .

Hier ist ein Scanergebnis mit virusscan.jotti.dhs.org:

Service load: 0% 100%

File: g0Ygg.dll
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

Kann nicht einen HijackThis vom Computerbildserver herunterladen.
Welche Tools noch kann ich einsetzen?

Du kannst die Datei im abgesicherten Modus versuchen zu löschen bzw. Macaffee in diesem Modus mal scannen lassen:

http://www.trojaner-board.de/63335-w...s-starten.html

"Kann nicht einen HijackThis vom Computerbildserver herunterladen."

Was meinst du damit?

Hier noch ein direkter Link zu Hijackthis:

http://www.zerosrealm.com/downloads/hjt.zip

Hier ist der Logfile, was nun ??
Nach einer Bahandlung mit dem Tool vom Kasperskylab wird kein Trojaner von MacAffee mehr aufgefunden. Die Datei goYgg.dll ist immer noch da (im System32).
Ist das ok?

Grüss alle Beteiligten

Viki.

Logfile of HijackThis v1.97.7
Scan saved at 15:31:50, on 10.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Flashpaste\flashpaste.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Archiv\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.adels-contact.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.fujitsu-siemens.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.1.1;<local>
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = hxxp://www.fujitsu-siemens.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\System32\wghF237.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE /m
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [VariedDesktopAutoChanger] D:\Archiv\Desktopschöner\Varied Desktop/AutoChanger.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Flashpaste] C:\Programme\Flashpaste\flashpaste.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - Startup: AutoChanger.LNK = ?
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.fujitsu-siemens.de
O16 - DPF: {22CF0C35-80CE-11D3-9354-00105AA793BF} (Ipa Control) - file://C:\Dokumente und Einstellungen\AC2\Lokale Einstellungen\Temp\IK TC 2500 SI 5x20-00000\IpaWebView.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F63DEC5B-EBC9-479A-92DF-E016D660DD2D}: NameServer = 192.168.1.1

Dieses File bitte auch bei Jotti testen: C:\WINDOWS\System32\wghF237.dll

Sorry, der Link von mir führte zu einer alten version von HJT, wieso genau kannst du nun die von hier verlinkte nicht herunterladen http://www.trojaner-board.de/51130-a...ijackthis.html

Wenn du die neuere hast, bitte nochmal ein Log erstelln.